StormEye、 Hack分享吧
Hack分享吧
微信号 HackShareB
功能介绍 专注分享国内外优秀安全工具和开源项目
__发表于
收录于合集
#工具 199 个
#免杀 33 个
声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
工具介绍
python3写的这个免杀工具,其原理是利用windows提供的API运行指定程序,然后修改其内存数据,将目标进程“掏空”替换成恶意的木马程序以达到隐蔽和免杀的目的。
测试效果
1. 使用进程镂空(傀儡进程)winlogon.exe,Defender仅提示病毒威胁选择重启,但不会主动杀掉镂空的winlogon.exe,实现稳定上线。
2. 360鲲鹏引擎下无感知上线稳定运行
3.
VT查杀率1/69
工具使用
1. 工具使用了python3.7.9 开发,安装相关依赖包:
pip3 install -r requirements.txtpython3 StormBypassAV.py
2.
支持普通和隐匿2种模式:
3.普通模式下使用了几种不同的内存申请/写入内存方式,通过将shellcode和shellcode加载器代码都进行加密实现了不错的免杀效果,并添加一些随机位移使得最终的木马比较难找到静态特征。
4. 隐匿模式下实现了进程注入和进程镂空(傀儡进程)
-
进程注入将shellcode注入到指定进程中运行,木马程序本身被杀毒软件检测到后会被删除。
-
进程镂空通过运行指定程序并挂起,然后将已有的exe木马写入目标进程中运行,杀毒软件检测到的恶意进程是我们运行的目标程序。defender基于行为的监测技术能够发现被镂空的程序在执行恶意指令,因此会主动终止目标程序,但如果是winlogon.exe,它只会提示重启。
5. 实现了本地和网络分离免杀,由于shellcode每次生成的不一样,所以配置菜单中增加了SSH服务器,配置后可以自动将新生产的payload同步到web服务器上
6. 已知bug: ****
因为使用了动态导入,所以shellcode.py文件名中不能有多余的点号.
下载地址
点击下方名片进入公众号
回复关键字【 23 0623 】获取 ** 下载链接**
信 安 考 证
需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球 1 年!
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
往期推荐工具
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看