- 博客(35)
- 收藏
- 关注
RSS订阅原创 掌握这几步方法,普通PE免杀信手拈来
当我们用lnk打中目标机器后,接下来可能要获取浏览器数据。HackBrowserData是一个不错的项目,但遗憾的是各大杀软对其早已进行了标记。但接下来的这几步,你要记住了,方法我只教一遍。
2025-07-10 09:16:23
480
原创 从大数据看如何进行红队开发
杀毒软件云查杀就是一个打分系统,一旦命中则较大概率是恶意软件。现在,我们从海量样本的角度看这种机制的设计原理,总结我们的红队开发注意要点。
2025-06-26 14:24:22
590
原创 蓝队的噩梦,让PE保持隐形
白加黑组装完成后,由于DLL不具备有效数字签名,容易成为`逆向`工程分析的对象。现在,我们需要对其进行处理让其保持`隐形`。
2025-06-26 14:23:30
1031
原创 红队加载器过主流杀软-混淆最终版
本项目为单文件的资源加载器([红队有效载荷加载器](https://mp.weixin.qq.com/s/k2eele1fw4xZQZbelSfWrw))混淆最终版,主要解决代码被标记问题,`搭载`完全无法检测的cobaltstrike有效载荷,可`轻松`绕过绝大部分杀软,`无惧分析`,`无惧沙箱`。
2025-05-18 22:18:40
698
原创 还在用bof截图?现在不需要了
完全无法检测的cobaltstrike有什么优势?一是无特征,有效载荷无需通过代码加密解密即可直接加载至内存,二是绕过内存扫描,如火绒卡巴斯基等内存特征扫描,在分配内存时可大胆分配RWX内存,无需担心被检测。第三则可轻松绕过行为检测,大幅降低了被检测的概率,在这之前例如屏幕截图需要使用bof操作或者进程注入插件,现在可直接进行操作,杀毒软件形同空气。
2025-05-07 14:42:23
288
原创 全网唯一,高级LNK快捷方式新技术发布
经过长期研究,本方案可用于红队行动初始访问和持久化,适用于卡巴斯基,360安全卫士等环境下红蓝对抗演练、数字取证、廉政合规等用途,是全网唯一能绕过该防御的高级技术。执行链路如下:运行lnk—》远程下载诱饵文档打开—》远程下载释放白加黑—》创建持久化—》上线C2执行lnk后远程下载一个同名诱饵文档至temp目录,打开迷惑用户,远程下载一组高级白加黑至appdata下某目录,不存在则创建,解压至该目录,删除自身,计划任务维持权限,启动高级白加黑,执行有效载荷上线。本方案存在诸多关键技术。
2025-05-07 13:59:56
517
原创 高级lnk快捷方式武器化
执行lnk后删除自身,远程下载一个同名文档至当前目录,打开迷惑目标,检查appdata是否存在SecurityCheck目录,不存在则创建,远程下载pkg.zip至该目录,解压释放混淆的EXE加载器(可搭载白加黑),删除zip,计划任务维持权限并自我删除,启动加载器。
2025-05-07 13:56:45
381
原创 顶级武器-完全无法检测的cobalt strike
完全无法检测的cobaltstrike,是本人招牌武器,耗时1年多研发,该方案包括高级匿名技术特征修补技术,面向攻防演练、数字取证、廉政合规等合法场景。售价1000元,在这之前已经有11位同学进行了购买,但因文章丢失现再次发布,付费后,将持续维护并不再收费,用户可通过菜单查看是否更新,可与我同步最新,欢迎企业或个人购买。轻松绕过全球12款杀毒软件,以最先进对最先进。复杂技术简单化,无需代码基础。仅需10行代码编号杀毒软件测试结果方式1Avast绕过单文件2瑞星杀毒绕过单文件3。
2025-05-07 13:55:57
914
原创 Cobaltstrike4.9.1平台基础部署手册
cobaltstrike是红队人员学习的突破口,而基础手册解决了红队新手部署环境的困惑。cobaltstrike部署手册从基础到高级,基础内容包括服务器匿名域名CDN证书cobaltstrike配置文件防火墙等,高级部分则包括中间件,重定向器,边缘技术,合法域名等。历经4次更新完善,从4.8版本更新至4.9.1,手册详细介绍了每一步操作,如果你也想有一套红队训练的基础设施,该手册则是你的必备法宝。
2025-05-07 13:55:12
556
原创 Cobaltstrike4.9.1平台高级匿名技术手册
cobaltstrike高级匿名技术包括中间件重定向器边缘技术合法域名。历经5次更新完善,从4.8版本更新至4.9.1,该方案通过前后端域名分离,融合了cobaltstrike重定向器高级特性,使用了CDN边缘技术以及合法域名技术,完全实现了匿名化、弹性、防测绘、防溯源,是红队高级攻防的必备手册。
2025-05-07 13:54:32
527
原创 早鸟注入PPID欺骗EDR绕过免杀加载器
本项目通过Early Bird注入和父进程ID欺骗实现Edge浏览器进程上线。一般的木马运行后,如果本身有外联行为, 容易被EDR检测到异常的网络连接,结束进程shell就掉了,如果我们将进程注入到notepad.exe,则notepad每60秒开始发送一次https数据包,这也将非常可疑。但是如果发送数据包的是Edge浏览器,这再正常不过了,EDR可能直接放行。运行效果。
2025-02-10 16:04:48
1045
原创 地狱之门进程注入官方免杀插件
在这之前,我们介绍了如何给内置命令分级,还演示了BOF操作规避查杀,还但这种操作无疑是跑偏了,原因在于内置命令有很多,每个操作都使用BOF,无意是非常麻烦,为了解决这个问题,官方在4.5版本追加了允许用户定义自己的进程注入技术,这发布在arsenal-kit官方武器库中,一旦加载该插件,便可修改cobalt strike内置的大部分技术。
2025-02-10 16:01:44
455
原创 堆栈欺骗和内存扫描绕过
在这之前,我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV(反病毒软件),但问题来了,除了这类检测手段之外,还有基于堆栈检测的EDR,特别是最近一两年这种检测技术逐渐形成。本文余老师给大家演示下堆栈欺骗和sleepmask它们的优势和存在的问题,我们将对EDR和AV采取不同的进攻策略。
2025-02-10 16:00:45
1299
原创 高级lnk快捷方式,常规杀毒软件无法拦截
传统的lnk快捷方式肯定会被拦截,包括知名的Quantum Builder量子构建器,以及各种人工LNK。本技术采用LNK攻击新技术,使用高超音速加载器,搭载cobaltstrike隐身平台stageless有效载荷,常规杀毒软件无法拦截。由于本次采用训练弹,对计算机无危害。
2025-02-10 15:57:23
520
原创 无法被拦截的PDF钓鱼
PDF通常被认为是安全的文件,无论在邮件附件,还是聊天工具中。但是很遗憾,PDF已成为新型网络攻击的载体,本技术演示了采用PDF走私技术,将URL嵌入至PDF中,只需打开并点击PDF,则触发远程文件下载。这种技术绕过了现代防御系统,极难防御。
2025-02-10 15:49:26
452
原创 WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
继上篇文章,我们发现使用Adobe打开PDF可导致电脑被远程控制,而现在使用WPS的用户也面临同样的问题,赶紧一起来看下。
2025-02-10 15:48:43
508
原创 攻防的较量,杀毒软件的致命缺陷
*绒反病毒引擎扫描核心简介》《*绒终端安全管理系统2.0》《36*终端安全防护系统产品白皮书》《36安全士的隐私保护说明》想要绕过,首先要了解杀毒软件设计原理,首先是第一道防线黑白名单机制,在黑名单的直接报毒,在白名单的直接放行,不在黑白名单的未知程序,则转由云端的行为分析器(其中就包括云端QV*人工智能引擎)来判断此程序的动作是否有危害,但这判断存在时间绕过。其次是特征查杀,一旦特征消除,内存睡眠绕过,行为保持隐蔽,则很难进行防御,而这些,已经不再是难题。
2025-02-10 15:43:53
1119
原创 【首发】红队神器升级:完全无法检测的cobaltstrike+红队加载器,主流杀软全覆盖
在过去的一年,本人实践了很多内容,包括,各种技术,本方案经过一个季度的观察稳定可靠,价1000元,面向合法渗透或红蓝对抗场景。本次发布后,将持续维护并不再费,用户可通过过如下任意内容的小伙伴,可以私信*10%。
2025-02-10 15:31:53
572
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人