cs 免杀 payload 绕过 360 全家桶

 文章来源于叮咚实验室

作者；吃个橘子

实验环境：

Win10 物理机（cs 服务端）Win7 虚拟机（360 安全卫士+360 杀毒全家桶 最新版）

准备材料：vs2017 ，cs

 我们先用CS生成普通的windows x86的exe木马测试

命名为 orange.exe，放到虚拟机。

 点击运行的时候，可以看到 360 马上就提示木马。

这可不是我们想要的，这 tm 谁能忍？。

下面是微步沙箱对 orange.exe 的检测结果，24 个杀毒软件，13 个检测出来是木马。

 这种情况是非常不乐观的。我们要想办法做免杀处理。这里我用到的是 vs2017。

我们先用 cs 生成一个 veil 格式的 x86 shellcode。

生成好了是上面那样的

 接下来用VS2017新建个win32控制台应用程序，命名为sb360（ps;咳咳）

下一步 空项目 打上勾。

新建项目完成之后，添加 cpp 文件

在 cpp 中插入以下代码：

x3bx7dx24x75xe2x58x8bx58x24x01xd3x66x8b

编译前设置项目属性，运行库设置为 多线程（/MT）（否则报错缺少相应的 dll）

编译完成

最后我们放在虚拟机里面运行试试。可以看到，我们的木马成功运行。

cs 成功上线。

我们成功的绕过了 360 的检测。

在 360 全家桶的保护下，我们依然顺利的读取到了管理员的账号和明文密码。

然而 360 并没有什么反应。

最后来看看微步沙箱对 sb360 的检测结果。

现在已经比刚才好多啦，只有三个检测出来是病毒。

声明：资料仅供研究探讨，禁止用于非法用途，如产生的任何问题与作者无关。

 欢迎点个再看再走哦

学习，永远不停止脚步，但是！小命要紧，睡觉了！