免杀对抗-爱代码爱编程
首先,你需要分析: 1、安全工具是否有源代码 2、安全工具源代码逻辑复杂程度 3、当前源代码你是否有能力修改 其次,你需要考虑: 1、无源码或无能力修改 2、各种异常bug打包问题 3、修改打包后效果也不太好 故: 1、
关于hook ntdll 代码详解-爱代码爱编程
UNHOOK ntdll DWORD unhook() { //创建该结构体用于获取该dll的信息 将所有成员变量初始化为零 MODULEINFO mi = {}; //获取当前内存的ntdll的句柄 HMODULE ntdllModule = GetModuleHandleA("ntdll.dll"); //HANDLE(-1)表示获取当前进
免杀学习(1)_免杀学习推荐-爱代码爱编程
0x00前言 shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名,(百度百科),简单理解就是一段漏洞利用代码。正常来说对服务器上传木马时,都会考虑一个问题,就是绕过杀毒软件的问题,也就是免杀问题 0x01涉及技术 shellcode混淆加密,无文件落地,分离拆分,白名单,D
cs免杀姿势-爱代码爱编程
一:环境 1.公网vps一台 2.Cobalt Strike 4.7 3.免杀脚本 二:生成payload 生成一个payload c格式的x64位payload 三:免杀 下载免杀脚本 .c打开是这样的
dll加载器-爱代码爱编程
实验 注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加
、写入shellcode到注册表上线-爱代码爱编程
其实本质就是将shellcode写入到注册表中,然后读取注册表中的shellcode,然后创建线程去执行shellcode。 如下图: 写入注册表shellcode 这里将shellcode写入到注册表中,在我们需要
13.1、免杀技术-爱代码爱编程
攻击主机: Kali 192.168.11.106 靶机:windows server 2008 r2 192.168.11.134 x64 32位 免杀就是避免被杀掉,准确点说就是创建的攻击载荷在对方电脑上运行的时候,可能会被杀毒软件干掉,使用相关技术让载荷躲过杀毒软件的扫描。
tryhackme-爱代码爱编程
Set 您再次发现自己在Windcorp公司的内部网络上。上次你去那里的味道真好,你回来了 了解更多。 但是,这次他们设法保护了域控制器,因此您需要找到另一台服务器,并在第一次扫描时发现“Set”。 Set被用作开发人
免杀学习(二)python_python免杀-爱代码爱编程
0x00 shellcode加载器 使用python加载shellcode时一定要注意是32(x86)位还是64(x64)位的,否则会出现OSError: exception: access violation writing 0x00000000C6040000‘的错误,x64不兼容,只能在x64系统下运行,x86可以兼容,在x86和x64都能运行,推
第117天:免杀对抗-爱代码爱编程
知识点 #知识点: 1、反VT-沙盒检测-Go&Python&C++ 2、反调试-调试检测&进程注入-C++ 3、反VT反调试-程序保护-工具项目类 #章节点: 编译代码面-ShellCode
第119天:免杀对抗-爱代码爱编程
知识点 #知识点: 1、CS-表面特征消除 2、CS-HTTP流量特征消除 3、CS-Shellcode特征消除 #章节点: 编译代码面-ShellCode-混淆 编译代码面-编辑执行器-编写 编译代码面-分离加载器
第118天:免杀对抗-爱代码爱编程
知识点 #知识点: 1、CS-表面特征消除 2、CS-HTTP流量特征消除 3、CS-Shellcode特征消除 #章节点: 编译代码面-ShellCode-混淆 编译代码面-编辑执行器-编写 编译代码面-分离加载器
免杀花指令编写手册-爱代码爱编程
一.花指令概念: 花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都 不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡. 二.写花指令的原则: 写花指令的基本原则就是要保持堆栈的平衡. 写花指令细细品味下面一段比喻: 我们把一段花指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成加减 乘除,把寄
mimikatz免杀手段来绕过杀软的限制-爱代码爱编程
mimikatz免杀 0x00 前言 0x01 利用微软官方Procdump工具 0x02 hashdump工具 0x03 ps版本的mimikatz
【免杀】通用shellcode原理及思路——fs段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称_shellcode获取基址-爱代码爱编程
通用shellcode 通用shellcode思路FS段寄存器获取kernel32.dll基址逻辑根据函数名进行查找逻辑双指针循环遍历获取函数字符串 总结 通用shellcode思路 1、保存
免杀之浅谈shellcode加载器-爱代码爱编程
就当作自己浅学这个,阿巴阿巴,废物的一天 shellcode特点 可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境” 没有标准pe头(pe头里面有相应的函数名词地址) shellcode不能静态(就是不能存在磁盘里,就比如exe啥的) 简单来说,这个就是一个无意义的变量。以下是利用msf生成
木马免杀之汇编花指令技巧_汇编 加花-爱代码爱编程
木马免杀之汇编花指令技巧 相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编
一些免杀工具-爱代码爱编程
shellcode免杀 掩日 https://github.com/1y0n/AV_Evasion_Tool 环境: go:https://go.dev/dl/go1.17.8.windows-amd64.msi C:h
webshell免杀的一些学习和思考——以php为例-爱代码爱编程
目录 前言一、关于webshell1、数据传递(1)HTTP请求中获取数据(2)从远程URL中获取数据(3)从磁盘文件中获取数据(4)从数据库中读取(5)从图片头部中获取 2、代码执行(1)常用命令执行
第一个免杀花指令生成器-爱代码爱编程
第一个免杀花指令生成器--不简单的免杀工具(图) 陆续将以前发表在杂志的文章放上来~,发表于《黑客X档案》,第几期忘了,呵呵 前言 相信做过免杀的朋友都知道花指令吧。加花指令是一种不错的文件免杀方法,而网上公布的花指令和花指令添加器因为里边的花指令被公布了,所以免杀效果不好。有点汇编基础的人就写自己的花指令,但写花指令的过程比较烦,所