Shellcode免杀,过360、火绒、windows-Defender

最新推荐文章于 2025-06-27 10:58:55 发布
最新推荐文章于 2025-06-27 10:58:55 发布
阅读量2.6k 收藏 15
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 免杀 渗透测试工具 信息安全 文章标签: 安全 web安全 免杀 windows 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Kris__zhang/article/details/123541947
Shellcode是一种用于执行特定任务的代码片段,常用于安全领域。本文介绍了Shellcode的基本概念,包括其在弹窗、模块基址获取等场景中的应用,以及如何利用免杀技术避免杀毒软件的检测。鹏组安全提供了免杀工具,能够生成CS、MSF和PowerShell的免杀Shellcode,成功绕过360等杀软的查杀。此外,该工具有效地避开了火绒和Defender的检测,展示了其在实操中的强效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shellcode简介

Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务
弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段Shellcode,同理,拿来干坏事的代码,也是Shellcode

免杀技术为何出现

如今的杀毒软件都拥有查杀病毒木马的能力,除了静态的查杀,还有动态的主动防御,若恶意代码片段(拿来干坏事的Shellcode)被杀软发现,则可以认为当前运行的程序是病毒木马或是被感染的文件,理应“杀掉”
有些时候,我们不想让自己写的代码被杀毒软件当作恶意软件,于是出现了免杀技术。

鹏组安全免杀工具

快速生成免杀文件,现在可生成cs和msf和powershell的免杀

使用

在这里插入图片描述
直接将生成的shellcode扔进去就可以生成

新生成的程序成功绕过了360的查杀,顺利执行了Shellcode
在这里插入图片描述

再将程序分别拿到有火绒和有Defender的系统中,照样无视它们~

地址

链接:https://t.zsxq.com/JiiayzJ

鹏组安全—鹏组星球

文章内容涉及网络¥安全,web渗透测试、内网渗透、POC分享、安全攻击及其编写、攻防实战向、CTF比赛技巧、教程资源等。
在这里插入图片描述
在这里插入图片描述

【护网必备】Windows平台shellcode加载器
Fly_鹏程万里
06-14 869
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
shellcode工具Go_Bypass的使用
江左盟的博客
02-28 2万+
简介 该工具是由Arks7使用Go语言开发的一个生成器模板,目前可以过国内主流毒。 GitHub地址: https://github.com/Arks7/Go_Bypass 用法 使用CobaltStrike生成payload,输出格式为Raw,4.3版本需要勾选X64,如图: 将生成的文件放在Go_Bypass项目目录下,然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理,否则编译报错。然后运行go run main.go,使用默认配置一路回车即
[ShellCode] 动态解密 ShellCode
LYSM
11-27 2399
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于的利用思路,首先软的运作方式多数为特征码查,当我们程序中使用了敏感的函数时,就会存在被的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么软将无法捕捉硬盘文件的特征,从而可以规避软针对硬盘特征的查手法。 经过阅读该案例
shellcode 其他
代码审计
05-18 422
https://blog.youkuaiyun.com/qq_36241198/article/details/119846882?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165285461216781432947947%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=165285461216781432947947&biz_id=0&
自己开发工具,通过了火绒,Protector使用教程[加壳】
最新发布
m0_73898198的博客
06-27 171
在B站的《自主开发程序,居然过了火绒,我们应该如何防范?】视频点个关注,私信999然后就可以获取网盘链接。
shellcode
qq_45396375的博客
12-16 164
将file目录下的生成的fenli.txt’、‘miwen.txt’、'update.txt这三个文件放在www目录下。想成功上线需要将file目录下的kygvseedc.txt放在loader.exe的同级目录下。如果运行木马文件报错,shellcode中不能解析成utf8,可以修改这里。将shellcode.txt放在项目目录下。也可以用python起一个http服务。将utf-8改为Latin-1就可以了。在Cs中,选择payload生成器。在file目录下执行打包命令。全部完成,可以进行测试。
Python shellcode
qq_25761407的博客
04-02 5862
Python shellcode
Shellcode对抗(C/C++)
热门推荐
qq_74806534的博客
02-17 2万+
这里便是毒软件毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
WindowsShellcode,过360火绒Defender 静态及主防
古月浪子的博客
02-17 7556
Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段Shellcode,同理,拿来干坏事的代码,也是Shellcode 如今的毒软件都拥有查病毒木马的能力,除了静态的查,还有动态的主动防御,若恶意代码片段(拿来干坏事的Shellcode)被软发现,则可以认为当前运行的程序是病毒木马或是被感染的文件,理应“掉” 有些时候,我们不想让自己写的代码被毒软件当
CPPC++_Windows通用shellcode生成器能够绕过Microsoft Defender360火绒Pa.zip
11-12
标题中提到的"CPPC++_Windows通用shellcode生成器"暗示了一种特定的工具,它声称能够生成可绕过Microsoft Defender360安全卫士、火绒安全软件检测的shellcode。这个描述提示了该工具的潜在用途和功能。...
Python火绒360Defender
江左盟的博客
10-10 2万+
目录 简介 环境 原理 加载ShellCode 定位特征码 Base64编码绕过 简介 之前学习都是使用Metasploit自带的编码进行,从未成功过。也使用过GitHub上别人提供的方法,最近学习并实践发现绕过国内的毒软件貌似并不难,本文使用手工分析特征码,使用base64编码绕过毒软件静态分析。虽然使用的方法比较简单,但对实际做研究还是有一定意义的。 环境 Windows 10 x64 Python 3.8.3 Pyinstaller 火绒版本:5.0..
入门---shellcode
LvHLong的博客
05-03 5939
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 技术全称为反毒技术Anti Anti- Virus简称“”,它指的是一种能使病毒木马于被毒软件查的技术。 毒软件工作原理 市面上的毒软件基本由扫描器、病毒特征库和虚拟机成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
shellCode技巧
qq_39330735的博客
05-15 2961
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对毒软件的⼀种⽅法,但是由于与⼿法的定义 有出⼊,所以如果将国内技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视 ,在类似于技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论技术,这为以后⽊⻢ 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
利用ChuiR ShellCode
她叫常玉莹
09-20 300
利用msfvenom生成c语言格式x64shellcode ChuiR使用GO语言编写的,需要配置GO环境 效果非常好,360腾讯电脑管家随便过,VirSCAN全绿
shellcode思路
u013367305的博客
05-04 1649
shellcode思路 使用msfconsole生产的shellcode之后正常写入到程序的内存里面的话会直接被毒软件静态查就能掉。 如果我们直接把shellcode贴入到自己程序中的话,编译出来的exe文件就会带上这段byte,而毒软件对此非常敏感所以会直接被掉。 // An highlighted block unsigned char sendBuf[355] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x5
Shellcode,绕过360安全卫士、火绒安全、腾讯管家
qq_1873822的博客
08-22 1万+
前言 分享一个傻瓜式直接套用大佬的框架进行shellcode,自己还是萌新还需要学习很多东西,大佬们不喜勿喷 毒原理 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等,这几个毒软件领头羊,现在的毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。然而一个毒软件做的是否好用,最主要的还是扫描器的速度、准确率以及病毒库是否庞大。 1.基于特征码的静态扫描技术 这种技术很容易被人想到,所以第一代的毒软件出现了,他们的毒思想就是,我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今
ShellCode的一些方法
qq_68890680的博客
06-26 759
申请内存空间:VirtualAlloc(在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零)、VirtualAllocEx(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式:基础加载,纤程加载,远程加载。
-Shellcode分离隐藏&C++
qq_45087791的博客
02-27 2990
Shellcode分离隐藏-毒找不到。离包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。
cobaltstrike
02-26
### Cobalt Strike 技巧和实现方法 #### 1. 使用 GobypassAV-shellcode 开源项目 GobypassAV-shellcode 是一个专注于 Cobot Strike 的技术的开源项目。此项目提供了一种有效的方法来避开主流毒软件(如火绒360系列、Defender)的查,从而实现更为隐蔽和持久的网络渗透测试[^1]。 #### 2. 利用混淆技术和编码器 为了使恶意代码难以被识别,可以采用多种混淆手段和技术。例如,使用 Metasploit 中内置的各种编码器对 payload 进行加密处理,使得静态分析变得困难。此外,还可以通过修改 shellcode 结构或引入无害指令填充等方式增加复杂度,降低特征匹配的成功率[^2]。 #### 3. 动态加载与反射注入 动态加载是指在运行时解析并调用所需的 API 函数而不是直接硬编码路径;而反射注入则是指将自定义 DLL 注入到目标进程中执行而不依赖于文件系统上的副本。这两种方式都可以减少签名规则命中几率,并且让安全产品更难追踪行为模式。 #### 4. 配合在线沙盒环境测试效果 实际操作过程中建议配合使用线上沙箱服务来进行简单快速的效果验证。这有助于及时调整策略以适应不同厂商产品的更新变化趋势,确保最终生成的有效载荷能够在大多数环境中保持较低检出率的同时维持正常功能。 ```python from ctypes import * import sys def reflective_inject(dll_path, target_pid): # 反射注入的核心逻辑省略... pass if __name__ == "__main__": if len(sys.argv) != 3: print("Usage: python script.py <DLL_PATH> <TARGET_PID>") exit(1) dll_path = sys.argv[1] target_pid = int(sys.argv[2]) reflective_inject(dll_path, target_pid) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值