SysWhispers3WinHttp免杀----ConsoleApplication814项目

最新推荐文章于 2025-02-22 13:29:29 发布

原创

最新推荐文章于 2025-02-22 13:29:29 发布 · 364 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #c++

本文介绍如何通过`SysWhispers3WinHttp`项目在Linux环境下使用gcc编译生成beacon.bin文件，并部署到VPS开启HTTP服务。项目在VS编译时被WindowsDefender阻止，建议读者尝试使用360安全卫士或360杀毒以实现绕过。

使用项目：https://github.com/huaigu4ng/SysWhispers3WinHttp
通过cs生成beacon.bin，放到vps，开启http服务

x86_64-w64-mingw32-gcc.exe -o ConsoleApplication814.exe syscalls64.c ConsoleApplication814.c -masm=intel -w -s -lwinhttp -O1

注意用gcc编译，vs编译报错
在这里插入图片描述
来看看免杀效果
过不了windows defender，放上去直接杀，更别说运行了，没办法用此项目的人太多了
试试360

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

番茄酱料

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

最新免杀！可过360核晶与Defender（SysWhispers3）

潇湘信安的博客

05-19

2046

SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能，目前还可免杀绕过360核晶与Defender。

红队免杀培训-手把手教使用系统调用(上)

Gamma_lab的博客

03-18

806

1.前言：为了应对，AV/EDR对一些常规windows的api的监控，使用的github项目为Syswhispers，其实CS官方有个付费工具包叫 CobaltStrike Artifact，可以定制化生成有效负载，当然其中也包括了使用系统调用，替换掉beacon里面的api函数，当然付费真的用不起，对于穷人来说，只能靠手动冲！ 2.实现：在此之前，我们得想一想我们该替换什么api，我们需要用到什么api，看以下加载器的示例： #include <iostream> #include &l

参与评论您还未登录，请先登录后发表或查看评论

探索SysWhispers3WinHttp：一款强大的Windows系统调用隐蔽通信工具

gitblog_00002的博客

04-18

535

探索SysWhispers3WinHttp：一款强大的Windows系统调用隐蔽通信工具 SysWhispers3WinHttp是一个开源项目，由GitHub用户huaigu4ng开发，其主要目标是提供一种在Windows环境中进行隐秘而高效的数据传输方法。通过利用Windows系统的内部API（应用程序接口）——尤其是WinHTTP库，此项目实现了在避开常规监控和检测的情况下，发送与接收网络数据...

推荐项目：SysWhispers3 —— 打破常规的系统调用黑科技

gitblog_01090的博客

08-19

1025

在当今的安全研究领域，规避高级安全防护机制已成为红队操作和逆向工程中不可或缺的一环。SysWhispers3，一款由[klezVirus](https://github.com/klezVirus)精心打造的工具，以其独特的功能和技术优势，站在了这一领域的前沿。 ## 项目介绍 SysWhispers3是SysWhispers系列的最新进化版，专为那些寻求更深层次操作系统内核交互，并希望绕过传...

探索SysWhispers3：深入系统调用的秘密武器

gitblog_00088的博客

04-25

667

探索SysWhispers3：深入系统调用的秘密武器 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 是一个开源项目，它专注于提供一种低噪音、高隐蔽性的系统调用接口利用技术。该项目的主要...

SysWhispers3使用手册

gitblog_00834的博客

08-19

534

SysWhispers3是一个旨在增强软件安全性与隐匿性的工具，专注于通过直接系统调用技术来规避传统检测手段。以下是基于其GitHub仓库（[klezVirus/SysWhispers3](https://github.com/klezVirus/SysWhispers3.git)）的基本目录结构说明： - **src**: 包含主要的源代码文件。这里存放的是实现核心功能如查找系统调用地址、编码...

WinHTTP Web Proxy Auto-Discovery Service 服务处于停止状态

09-30

WinHTTP Web Proxy Auto-Discovery Service 服务处于停止状态还有，我的服务器没有使用WEB代理和防火墙客户端。

Win2003 WinHTTP Web Proxy Auto-Discovery Service 导致的服务器重启

09-30

在Windows Server 2003操作系统中，"Win2003 WinHTTP Web Proxy Auto-Discovery Service"是一项关键服务，其主要功能是帮助系统自动发现Web代理服务器设置，以便客户端可以透过网络进行通信。该服务通常对那些需要...

浅谈 Windows Syscall

全粘工程师

10-27

817

其具体含义是先解析 Ntdll.dll 的导出地址表 EAT，定位所有以 “Zw” 开头的函数，将开头替换成 “Nt”，将 Code stub 的 hash 和地址存储在 SYSCALL_ENTRY 结构的表中，存储在表中的系统调用的索引是SSN（System Service Numbers，系统服务编号）。内核中包含了大部分操作系统的内部数据结构，所以用户模式下的应用程序在访问这些数据结构或调用内部Windows例程以执行特权操作的时候，必须先从用户模式切换到内核模式，这里就涉及到系统调用。

SysWhispers3 项目常见问题解决方案

gitblog_00786的博客

12-12

634

SysWhispers3 是一个用于绕过 AV/EDR（防病毒软件/端点检测与响应）的工具，通过生成头文件和汇编文件，使植入程序能够直接调用系统调用，从而避免用户模式下的钩子检测。该项目是 SysWhispers2 的增强版，主要支持 MSVC 编译器，并且包含了一些额外的功能，如支持 x86/WoW64 架构、系统调用指令替换等。主要的编程语言是 Python，用于生成头文件和汇编文件。 ...

SysWhispers:通过直接系统调用规避AVEDR

05-30

系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。从Windows XP到Windows 10 19042（20H2），都支持所有核心syscall。在example-output/文件夹中可用的示例生成文件。介绍各种安全产品在用户模式 API 中放置钩子，允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令，因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。该技术由推广，他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力，该功能适用于从 XP 开始的任何 Windows 版本。标头还将包括必要的类型定义。这与 POC 之

SysWhispers2:通过直接系统调用进行AVEDR规避

03-08

SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。支持所有核心系统调用，并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别用法与几乎相同，但是您不必指定要支持的Windows版本。大部分更改都在后台进行。它不再依赖的，而是使用流行的“ ”技术。这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。一个区别是函数名称哈希在每一代中都是随机的。，谁曾这种技术早些时候，有另一个基于C ++ 17，这也是值得一试。原始的SysWhispers存储库仍处于运行状态，但将来可能会弃用。介绍各种安全产品在用户模式API函数中放置了钩子，使它们可以将执行流重定向到其引擎并检测可疑行为。进行系统

SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用

03-06

SysWhispers2_x86 SysWhispers2只支持x64，在此基础上作一点微小的工作，使用方法与注意要在vs x86模式编译生成，不要在x64模式。由于syswhisper2仅支持x64，因此我们在此基础上做了一些工作，其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行，Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。当心！在vs x86模式下构建，而不在x64模式下构建。

syscall函数（调用底层，非windowsAPI）去执行shellcode

bring_coco的博客

08-30

696

首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c：（该payload是弹出计算器，还需要后续去改成上线cs）因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的，也是默认的。其他三个都是自动生成的，位置放好相应路径即可。因为这个文件要生成，所以不需要做下面的改动。然后我放到360杀毒中，会报毒。应该是检测到了syscall。可以看到成功弹出计算器。

调用 dll 侵权_ShellCode免杀框架内附SysWhispers2_x86直接系统调用

weixin_30480859的博客

01-29

966

本帖最后由 mai1zhi2 于 2021-1-28 12:27 编辑文章来自：https://www.52pojie.cn/thread-1360548-1-1.html如有侵权，请联系删除1、概述之前分析CS4的stage时，有老哥让我写下CS免杀上线方面知识，遂介绍之前所写shellcode框架，该框架的shellcode执行部分利用系统特性和直接系统调用(Direct Syste...

探索SysWhispers：一款强大的系统调用静默执行工具

gitblog_00040的博客

03-25

406

探索SysWhispers：一款强大的系统调用静默执行工具项目简介是由J. Thuraisamy开发的一个开源项目，旨在提供一种安全、隐蔽的方式来执行Linux系统的内核级操作，而不留下明显的痕迹。它通过利用系统调用在用户空间和内核空间之间的通信，实现了对目标程序的无痕注入。技术分析 SysWhispers的核心在于其高效且低可见性的系统调用注入机制。传统的注入方法如DLL注入或内存修改等可...

Windows CCleaner--x64-绿色便携中文 [好用的清理工具]