有老哥看了前几天发的便秘帖子后,说鸡哥不讲武德,shellcode没发出来,卡巴都没有过,帖子就这样结束了。这次一起奉上,CS通杀所有常见杀软上线运行,相关文件以上传到:
https://github.com/mai1zhi2/CobaltstrikeSource/
2.1火绒
执行shellcode部分:
执行到反射dll:
运行上线:
火绒沦为摆设:
2.2360
执行shellcode部分:
执行到反射dll:
运行上线:
360沦为摆设:
2.3腾讯管家
执行shellcode部分:
执行到反射dll:
运行上线:
软件管家沦为摆设:
2.4卡巴
执行shellcode部分:
执行到反射dll:
运行上线:
卡巴沦为摆设:
2.5麦咖啡
执行shellcode部分:
执行到反射dll:
运行上线:
麦咖啡沦为摆设:
3.1 为什么能免杀
1、Shellcode的使用设置
从Shellcode转C代码,再通过c还原的Shellcode,最后所得的shellcode没有经过绕过混淆和加密也是一样妥妥的免杀,关于c代码到shellcode的生成可以参考之前所发shellcode框架的文章。
2、Beacon的免杀改进
目前主要为这两个特征:
Default.profile的特征:
与导出函数RefletiveLoader名字,我在common/Sclisten.java的export()方法修改了导出函数的名称:
3.2 注意事项
1、请勿使用stageless模式,因为该模式的生成规则不相同。
2、请勿执行在该项目mimikaz、bypassUAC等敏感行为,因为项目中这些功能还没进行免杀处理的,以防止掉线。因此我们需要对这些功能进行重写并使其免杀。
3、项目只是修改了相应的文件,无留后门等非法行为,老哥们可以放心重打包使用,不放心也可以比对文件,最后,大家护网顺利。
—-完,谢谢大家观看—-
本公众号 不定期更新 文章和视频 欢迎前来关注
