渗透Tips-22期-Pezor免杀

From:https://iwantmore.pizza/posts/PEzor.html

https://github.com/phra/PEzor

1. 用Mingw-w64和LLVM设置开发环境

2. 通过NTDLL内存抓取通过syscall内联进行Shellcode注入（仅x86-64）

3. 从内存NTDLL中删除钩子，以检索正确的系统调用号

4. 使用Donut将Shellcode注入器升级为完整的PE包装器

5. 使用sgn确保在每次构建时生成的shellcode总是不同的

6. 通过LLVM混淆确保编译的加载器在每个构建中始终是不同的

7. 为初始加载程序实现一些简单的反调试技巧

可以是提供可执行文件，打包到新的可执行文件中，也可以提供shellcode打包到一个可执行文件中

$ git clone https://github.com/phra/PEzor.git$ cd PEzor$ sudo bash install.sh$ bash PEzor.sh –h

这里测试下mimikatz，-sleep设置为2分钟，执行后需等两分钟

打包之前

打包之后

PEzor.sh -sgn -unhook -antidebug -text -syscalls -sleep=120 mimikatz.exe  -z 2

测试下Covenant

生成个可执行文件，打包之前效果

打包之后效果，可再结合其他免杀手段进行免杀。

等待两分钟后上线

本文始发于微信公众号（关注安全技术）：渗透Tips-22期-Pezor免杀