Windows下免杀思路分享
https://www.bilibili.com/read/cv11054974/
Windows下免杀思路总结
https://zhuanlan.zhihu.com/p/368462924
TideSec远控免杀专题
https://github.com/TideSec/BypassAntiVirus
https://www.yuque.com/tidesec/bypassav
免杀原理
1、shellcode字符串不做硬编码(人话:shellcode字符串不写死在代码里面)
2、shellcode字符串多种编码方式混淆
3、shellcode字符串加密
4、添加无危害的代码执行流程扰乱av分析(早些年的花指令免杀思维)
5、CobaltStrike生成的shellcode是一段下载者,主要功能是下载becon.dll,然后加载进内存,很多功能都在bencon里面,所以说cs的shellcode其实不具备多少危险动作的,但是它为什么会被杀毒软件查杀呢,那是因为杀毒软件利用一些算法例如模糊哈希算法(Fuzzy Hashing)提取出来了特征码。
6:CobaltStrike自身是用的管道进行进程通信。
目前的反病毒安全软件,常见有三种,一种基于特征,一种基于行为,一种基于云查杀。云查杀的特点基本也可以概括为特征查杀。
- 根据大佬fuzz得出的结论:动态行为查杀真的不好过么?答案是否定的:CobaltStrike的管道通信模式加上将花指令免杀思维运用在高级语言层面上一样有效,人话就是在shellcode loader的代码层面加一些正常的代码,让exe本身拥有正常的动作,扰乱av的判断,当然这个的前提是因为我们站在了CobaltStrike的管道通信模式的优势上。静态查杀好过么?答案是:好过,shellcode不落地+CobaltStrike本身的管道通信模式+shellcode字符串各种组合的编码+加密。云查杀的特点约等于特征查杀,好过。
通过microsoft文档可以查看 Windows Server 2016 或更高版本上 Microsoft Defender 防病毒的排除项。
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
%systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
%systemroot%\System32\dns.exe
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe免杀前环境准备
- 尽量断网
- 关闭杀毒软件自动上传可疑文件功能
- 在安装好后系统防火墙会提示是否开启安全卫士!具体名字记不清楚了,这个地方直接选择拦截就行了,没什么用。如果你选择的放行,那后面你做免杀的时候需要全部关掉360杀毒,选择拦截的话,只需要禁用360杀毒的实时防护功能。
免杀资料
在线木马检测网站
http://cn-sec.com/archives/1163044.html
VirSCAN:https://www.virscan.org/language/zh-cn/
VirusTotal:https://www.virustotal.com/gui/home
腾讯哈勃分析系统:https://habo.qq.com
奇安信文件深度分析平台:https://sandbox.ti.qianxin.com/
魔盾安全分析:https://www.maldun.com/submit/submit_file/
微步在线云沙箱:https://s.threatbook.cn/
Jotti的恶意软件扫描系统:https://virusscan.jotti.org/
Falcon Sandbox:https://www.hybrid-analysis.com/
Comments | NOTHING