上一篇我们采用3步即可免杀卡巴斯基及各大杀软,不需要任何花里胡哨的操作,有分析有实践,还是那句话,复杂技术简单化,重拾信心很关键。今天给大家带来一个高级免杀加载器,另外介绍下杀软的一些机制,相信对改进杀软也是有所帮助。
警告:本项目仅限用于计算机攻防红蓝对抗等技术研究领域,不得用于其他目的。
项目概述
技术采用
-
• 使用HellHall进行间接系统调用
-
• 使用CRC32哈希算法进行 api 哈希处理
-
• 使用 xor+base64/ rc4+base64 加解密有效载荷 - 有效载荷保存在 .rsrc 中
-
• 使用 APC 调用注入有效载荷 - 可警告线程
-
• 使用 APC 执行有效负载 - 可警报线程
-
• 使用MsgWaitForMultipleObjects执行延迟
-
• 使用填充技术降低熵
项目部分
payload加密:
payload解密:
采用填充技术减熵:资源部分从6减少到2.5,以此得以免杀启发式查杀技术。
用法
-
• 编译:采用我专门设计的免杀配置。 免杀HelloWorld,0/71通过所有杀软
-
• 将PayloadFile.pf放入主项目中一同编译。
-
• 执行最终文件。
免杀效果
-
• 免杀360及云查
-
• 免杀windows defender
-
• 免杀其他AV
略
以上所有内容,可通过如下两种方式获取。
-
• 付费购买,回复
20241018获取项目源代码。 -
• 转发本文章至50人以上的技术群(QQ或微信),发送私信截图获取项目源代码。
推荐阅读
欢迎点赞分享并留言,同时欢迎关注视频号。
原文始发于微信公众号(白帽子安全笔记):间接系统调用APC注入EDR绕过免杀加载器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论