【软件逆向-记一次CobaltSrike免杀】此文章归类为:软件逆向。
拳打360,脚踢卡巴斯基,肘击ESET
前言
本次文章主要围绕cobalt strike 对抗主流大型杀软的实际情况
本次使用的是cobalt strike 4.9
测试的杀软为 360全家桶,卡巴斯基反病毒软件 ,ESET ,windows defender
加载形式为白+黑
静态规避
静态没什么好说的,一种加密方式不够用,可以用多种加密方式对马进行加密,加密算法包括不限于AES,RC4,XXTEA等
动态规避
卡巴斯基测试
当我们的马上线后,如果没有做任何操作,过一段时间就会被查杀,主要原因就是卡巴的内存扫描发现了cs的特征,如果我们对马做了内存加密和堆栈欺骗,那么这一点就可以避免被内存扫描发现,下面是在内存加密的情况下的截图
ESET测试
使用和规避卡巴同样的加载方式和手法,可以直接过掉eset,下面是测试截图
360全家桶测试
widnows defender测试
主要用到的方法和技术:
1.静态层面:各种加密方式,只要能让杀软认不出来就可以,最好用多种加密方式进行加密
2.行为层面:可以用白加黑配合DLL劫持,白文件一定要信誉度高的,信誉度越高越好
3.内存层面:不仅对马进行加密,对整个堆也加密,同时配合堆栈欺骗
主要用的技术包括 动态调用,syscall,unhook,编译时混淆,堆栈欺骗,dll镂空
有很多优秀的文章和github上优秀的项目可以错参考,非常有帮助
技术交流加q群759614464
更多【软件逆向-记一次CobaltSrike免杀】相关视频教程:www.yxfzedu.com