探索GobypassAV-shellcode:新一代的CobaltStrike免杀技术

最新推荐文章于 2024-06-09 09:50:24 发布
最新推荐文章于 2024-06-09 09:50:24 发布
阅读量954 收藏 7
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00004/article/details/139020843

探索GobypassAV-shellcode:新一代的CobaltStrike免杀技术

去发现同类优质开源项目:https://gitcode.com/

项目介绍

在网络安全领域,绕过杀毒软件的检测是一项关键技能。GobypassAV-shellcode是一个开源项目,专注于Cobalt Strike的免杀技术。该项目提供了一种方法,能够有效地避开包括火绒、360系列、Defender在内的主流杀软的查杀,以实现更加隐蔽和持久的网络渗透测试。

项目技术分析

GobypassAV-shellcode的核心在于shellcode的处理。它将shellcode编码写入文件可能会触发杀软的特征匹配,因此项目采用远程加载的方式,通过Go语言和Python脚本对shellcode进行加密,增加了免杀的难度。此外,项目还提供了详细的对抗策略,针对不同杀毒软件的特性,如360的云查杀和Defender的新规则,进行了巧妙的规避。

技术亮点

  • 加密shellcode:项目提供两种加密手段,Go run encode.go 和 Python xor64.py,提高了壳码的混淆程度。
  • 动态加载:利用Go编程语言,实现shellcode的动态加载,降低被检测的风险。
  • 免杀技巧:适应不同的杀软策略,例如针对360核晶的避免进程注入,以及Defender的Stageless和sleep_mask参数优化。

项目及技术应用场景

GobypassAV-shellcode适用于以下场景:

  • 网络安全研究人员:希望探索如何在复杂的安全环境中保持隐形。
  • 企业安全团队:进行内部渗透测试,评估防御体系的有效性。
  • 红队操作:提高攻击行动的隐蔽性和持久性。

项目特点

  1. 广泛的兼容性:成功绕过了多种主流杀毒软件,包括火绒、360系列和Microsoft Defender。
  2. 详细教程:项目作者提供了详细的博客教程,易于理解和实践。
  3. 灵活的加载方式:支持本地解密和远程加载,可根据实际情况调整C2通信策略。
  4. 持续更新:随着杀毒软件的升级,项目会不断优化免杀策略,保证其有效性。
  5. 社区支持:该项目受到多个开源项目启发,并且积极回馈社区,促进了安全领域的知识共享。

通过GobypassAV-shellcode,您可以体验到更高级别的免杀技术和渗透测试策略。不论是作为学习工具还是实战应用,这个项目都值得您深入了解和尝试。为了您的系统安全,请确保合法合规地使用此项目。

Star History Chart

立即访问项目链接,开始您的免杀之旅!

https://github.com/Pizz33/GobypassAV-shellcode

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

go混淆实现bypassAV(cobaltstrike免杀)
qq_32445755的博客
02-09 1116
近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
探索Golang Shellcode:BypassAV - 实现安全防护绕过的创新工具
gitblog_00060的博客
04-05 480
探索Golang Shellcode:BypassAV - 实现安全防护绕过的创新工具 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化时代,安全是网络应用程序的核心关切。开发者们经常需要面对如何保护系统免受恶意软件和病毒攻击的挑战。golang-shellcode-bypassav 是一个由 Binganao 创建的开源项目,它利用 Go 语言编写 shellcod...
CobaltStrike使用插件实现免杀
m0_74025111的博客
04-24 1140
免责声明:本工具仅供安全研究和教学目的使用,用户须自行承担因使用该工具而引起的一切法律及相关责任。作者概不对任何法律责任承担责任,且保留随时中止、修改或终止本工具的权利。使用者应当遵循当地法律法规,并理解并同意本声明的所有内容。找小的 ico 图标,比如 5kb、10kb 的。Cobalt Stirke 插件,依赖 nim。导入免杀插件,点击Script Manager。启动cs,点击Connect。可以直接生成免杀shell。
shellcode免杀工具Go_Bypass的使用
热门推荐
江左盟的博客
02-28 2万+
简介 该工具是由Arks7使用Go语言开发的一个免杀生成器模板,目前可以过国内主流杀毒。 GitHub地址: https://github.com/Arks7/Go_Bypass 用法 使用CobaltStrike生成payload,输出格式为Raw,4.3版本需要勾选X64,如图: 将生成的文件放在Go_Bypass项目目录下,然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理,否则编译报错。然后运行go run main.go,使用默认配置一路回车即
AVByPass:一款Web在线自动免杀工具
05-31
一款利用加载器以及Python反序列化绕过AV的在线免杀工具 因为打包方式的局限性,不能跨平台,若要生成exe格式的只能在Windows下运行本项目 打包速度有点慢,提交后稍等一会 开发环境及运行 前端使用框架,后端使用框架 。 在项目根目录下运行pip3 install -r requirements.txt 安装相关依赖 使用 python3 manage.py runserver 0.0.0.0:8000启动程序, 若要使用其他端口作为访问端口,同时需要修改shellcode目录下的shellcode.py文件的13行的端口号。 使用说明 ShellCode 输入如CobaltStrike生成的python版payload.py文件中的buf = "xxxxx" 的 xxxxx 加密次数 通过简单的修改加密次数来绕过360不断网的情况下,免杀效果只有一会的情况 打包方式 目前只支持P
探秘GobypassAV:一个强大的反杀毒软件绕过工具
gitblog_00023的博客
04-20 385
探秘GobypassAV:一个强大的反杀毒软件绕过工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在网络安全研究领域, 是一个值得提及的开源项目,由 LinshaSec 创建并维护。它是一个专门设计用于绕过杀毒软件检测的工具,旨在帮助安全研究人员、渗透测试者和开发者更有效地进行恶意代码规避测试。 技术分析 GobypassAV 的核心思想是利用多种技巧混淆和隐藏代...
GolangBypassAV 项目使用教程
gitblog_00088的博客
06-09 405
GolangBypassAV 项目使用教程 GolangBypassAV 研究利用golang各种姿势bypassAV 项目地址: https://gitcode.com/gh_mirrors/go/GolangBypassAV ...
ShellCode-Loader - Msf&CobaltStrike免杀ShellCode加载器
11-19
ShellCode-Loader是一个通过Msf(Metasploit Framework)和Cobalt Strike进行免杀ShellCode加载的工具。Metasploit是一个用于渗透测试和安全研究的平台,它提供了用于发现安全漏洞并开发exploit代码的工具。Cobalt ...
Doge-Loader:GoGolang的Cobalt Strike Shellcode Loader
04-13
Cobalt Strike Shellcode Loader by Golang 本项目感谢朋友gd, skate_zhu的帮助 此项目不进行后续更新,详见衍生新项目 :dog_face:Doge-Loader 本项目主要作用为Cobalt Strike的shellcode加载器 编译:go build -...
AES-PowerShellCode:适用于Cobalt Strike的AES Powershell有效负载的独立版本
03-08
AES-PowerShellCode 适用于Cobalt Strike的AES Powershell有效负载的独立版本。 用法 将payload.bin原始shellcode文件放在同一目录中。 默认体系结构是x86 运行python obfuscate.py 默认输出为out.ps1
整理了基于Go的16种API免杀测试、8种加密测试、反沙盒测试、编译混淆、加壳、资源修改等免杀技术
05-24
整理了基于Go的16种API免杀测试、8种加密测试、反沙盒测试、编译混淆、加壳、资源修改等免杀技术,并搜集汇总了一些资料和工具。Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
探索GoBypassAV:一款高级的反病毒绕过工具
gitblog_00030的博客
04-10 358
探索GoBypassAV:一款高级的反病毒绕过工具 去发现同类优质开源项目:https://gitcode.com/ 是一个由TideSec团队开发的开源项目,旨在帮助安全研究人员和开发者测试软件的反病毒绕过能力。它利用Go语言的强大性能和灵活性,为对抗恶意软件检测提供了创新的解决方案。 项目简介 GoBypassAV是一个针对Windows平台的工具,它可以生成经过混淆和伪装的代码片段,使得恶意...
默安逐日实验室:免杀研究
moresec的博客
06-04 1809
​ 免杀(Bypass AV, Anti-Virus Evasion)是指恶意软件通过各种手段规避杀毒软件和安全检测系统的识别和拦截,从而在目标系统中成功执行。这种技术不仅用于恶意软件的传播,也被信息安全研究人员用来测试和提升安全防护系统的能力。根据有无源码,免杀可以分为以下两种情况:​ 一般直接对二进制可执行文件进行无源码免杀技术难度较高,免杀效果也不好。于是可以通过将编译好的二进制可执行文件转化为一段shellcode,然后编写加载器执行这段shellcode,从而实现无源码免杀向有源码免杀的转化。根据
探索GolangBypassAV:高效安全的免杀工具框架
gitblog_00095的博客
05-17 417
探索GolangBypassAV:高效安全的免杀工具框架 GolangBypassAV 研究利用golang各种姿势bypassAV 项目地址: https://gitcode.com/gh_mirrors/go/GolangBypassAV ...
木马免杀实践-golang
网络安全。
08-09 2339
0x01 简介 这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。 0x02 解读原项目 原项目–python加密部分 此项目加密shellcode采用的方式是base64 -> RC4加密 -> bas
Go编写免杀木马
渗透测试
06-28 1208
启动main.go -》 加载x1.bin -》加载x2.bin。
Bypass 360核晶的shellcode Packer
Fly_鹏程万里
05-24 1175
unhook使用了自定义跳转函数的unhook方法文中所讲述的方法,文中提到的github仓库 trickster0/LdrLoadDll-Unhooking 只实现了64位下的demo,我在 LdrLoadDll-Unhooking-x86-x64 中完善了32位和64位通用的一段代码。支持aes/xor加密,uuid/words混淆,支持间接syscall和unhook两种模式下的callback,fiber,earlybird三种加载方式。360(未开核晶):无检出。
思科网络学院教程——VLSM和CIDR.ppt
最新发布
06-21
思科网络学院教程——VLSM和CIDR.ppt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

郁英忆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值