声明: 二进制空间安全公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。
将二进制空间安全设为"星标⭐️"
第一时间收到文章更新
RingQ是一款后渗透免杀工具, 采用C++编写, 可实现对各类AV/EDR的快速免杀, 支持bypass AV/EDR、360、火绒、Windows Defender等主流防御产品。该免杀框架可通过简单修改源码、加载方式、加密混淆和执行逻辑等多维度来实现快速免杀, 并支持持续更新。
开源地址:
https://github.com/T4y1oR/RingQ
第一步: 将自己的免杀exe工具, 放在与Create.exe同文件夹下运行即可, 会生成一个混淆的main.txt文件。
注意: Create.exe程序仅用于混淆生成main.txt文件, 可能存在报毒警告, 直接添加白名单或虚拟机断网使用即可。
命令举例:
Create.exe fscan.exe
Create.exe CobaltStrike.bin第二步:
将main.txt和RingQ.exe上传到目标机器, 执行RingQ.exe
因内置反沙箱, 执行后有些许延迟,需要耐心等待一会儿。
RingQ.exe举例,实现本地加载mimikatz.exe过程,如图:
实现远程加载mimikatz.exe过程,如图:
实现绝对路径加载mimikatz.exe过程,如图:
CS Shellcode加载:
微步云沙箱检测:
360检测(2024.08.02更新):
Windows Defender(2024.08.02更新)
火绒6.0(2024.08.02更新):
EXE2Shellcode.exe程序可以将你需要免杀的exe工具转换成Shellcode,和Create.exe fscan.exe作用相同。
区别在于Create.exe内置XOR混淆,可以直接配合RingQ.exe程序直接使用。
EXE2Shellcode.exe生成后的Shellcode需要自行混淆+修改RingQ源码加载使用, 如图:
更新日志:
原文始发于微信公众号(二进制空间安全):一款开源持续更新的后渗透免杀框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论