BypassLoad
通过远程加载AES + XOR异或加密shellcode的免杀加载器,无过多技术细节。
| shellcode | 360杀毒 | 火绒 | Defender | 腾讯电脑管家 | VT |
|---|---|---|---|---|---|
| Meterpreter | √ | √ | √ | √ | 13/69 |
| Cobalt Strike | 静态√ | √ | √ | √ | 13/69 |
推荐Meterpreter生成shellcode,Cobalt Strike在尝试远程加载的shellcode时可能被360拦截
可自行加壳或修改程序尝试
releases程序可能会被杀软hash标记,保证免杀效果请自行编译
如果你不知道怎么做,不推荐使用该程序
声明:
-
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
-
水平不高,纯萌新刚刚开始研究免杀,面向Github编程借鉴了很多大佬的代码。
-
目前测试通过360、火绒、腾讯电脑管家、Defender。其他自行测试
使用指南
-
编译BypassLoad/Program.cs
-
将shellcode写入shellcode.txt然后运行Encrypt.exe进行加密编码(shellcode格式参照文件包内的shellcode.txt)
-
将Encrypt.exe加密编码后的数据上传至服务器
-
将远程访问链接写入webpath.txt
-
运行BypassLoad.exe
注意:存在一段if判断内存是否小于4G,进行简单的反沙箱判断。
更新
2024年01月29日
-
效果优化,更换加载方式
-
不再提供releases,请自行编译
2024年01月26日
-
效果优化
-
请不要将程序放入沙箱,以延长免杀时间
2024年01月24日
-
效果优化,现已免杀Defender
-
现在基于.NET Framework4.7.2框架
-
移除了一段无效代码
原文始发于微信公众号(TKing的安全圈):About通过远程加载AES + XOR异或加密shellcode的免杀加载器,过主流杀软。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论