遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

最新推荐文章于 2026-02-25 00:58:40 发布
原创 最新推荐文章于 2026-02-25 00:58:40 发布 · 4.1k 阅读 · 11
标签
#web安全 #安全
本文详细记录了如何通过CobaltStrike和Metasploit工具在Windows Defender、卡巴斯基和360安全卫士环境下实现免杀,包括HTTP与HTTPS流量测试、动态执行命令及反沙箱技巧。

zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...

测试目标:Windows Defender、卡巴斯基、360安全卫士极速版

系统环境:win10 64位   

软件版本:cs4.7破解版、msf社区免费版 

流量通信:http与https

测试平台:遮天对抗平台,地址:zTian.red

测试时间:2022-11-16

一、Cobalt Strike ShellCode免杀测试:

开始:

使用默认无修改teamserver配置,直接运行服务。

添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。

打开遮天对抗平台,选中要进行测试的payload文件。

选中payload,填入获取到的私钥,然后提交任务。

先各生成一个免杀文件:

DZoOQslVhc

最低0.47元/天 解锁文章
过卡巴主动防御
01-18
过卡巴主动防御穿墙下载者
CS(Cobaltstrike)免杀使用(附脚本)
热门推荐
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口密码。
【免杀】CS免杀——ps1免杀
qinjilll的博客
09-21 2066
❤️🔥🎉。
Cobalt Strike Profile 学习记录
darkb1rd的博客
04-21 3930
此处以最新版 jquery-c2.4.3.profile 为例,学习记录各项配置的作用。部分配置尚未研究清楚适用场景,后续继续学习再补充。 cobalt strike 4.3 官方文档:https://cobaltstrike.com/downloads/csmanual43.pdf 提示 关于参数与值: profile 文件将参数括在双引号中,而不是单引号中。例如:正确: set useragent "SOME AGENT"; 错误: set useragent 'SOME AGENT'; 一些
CS免杀姿势
qq_53003652的博客
11-07 1215
项目地址大家不要放在云沙箱或者直接用杀软单独扫描,这样很快就会让捕捉到不能免杀了。
红蓝对抗经验分享:CS免杀姿势
m0_61869253的博客
07-27 723
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
遮天 | 实战绕过卡巴斯基Defender上线CSMSF动态命令执行
最新发布
c7d8e9的博客
02-25 316
本文通过遮天对抗平台(zTian.red)实战演示了如何绕过卡巴斯基Windows Defender等主流杀毒软件,成功上线Cobalt StrikeMetasploit。文章详细介绍了从环境搭建、payload生成混淆、反沙箱处理到利用SSL加密通信的完整流程,并重点探讨了动态命令执行上线后的隐蔽操作策略,为安全研究人员提供了实用的免杀攻防思路。
遮天:强大的免杀生成工具
gitblog_00892的博客
09-24 485
遮天:强大的免杀生成工具 项目介绍 遮天 是一个致力于红蓝对抗研究的开源项目,主要功能是生成能够绕过大多数防病毒软件的木马程序。它经历了多个版本的迭代,每个版本都增强了其规避技术。1.x 版本支持远程加载、账户创建程序输出;2.x 版本实现了几乎全部的防病毒软件绕过,但需对特定代码中的敏感特征进行适当修改,并能够生成指定架构的应用;而3.x 版本更进一步,增加了绕过UAC(用户帐户控制)、用户创...
Flash钓鱼->CS上线(免杀过火绒、360等)
weixin_54227009的博客
05-13 1万+
这个马儿是rar压缩的,做成的rar解压自启动,所以是个exe的文件,然后这里为了像一点,把图标给改了。这里砸门为了逼真一点,所以把这个压缩包的图标改成Flash的图标。3、将免杀的exe跟生成的PayloadFile进行压缩。5、将这个exe的压缩包的路径放在砸门服务器上的flash.js上即可。执行路径为:C:\Windows\Temp\Flash.exe。3.4、高级->模式->静默模式->全部隐藏。这里我把解压路径给改成了:C:\Windows\Temp。3.2、 高级->常规->解压路径。
插件分享 | 简单免杀绕过利用上线的 GoCS
m0_46699477的博客
08-17 669
插件分享 | 简单免杀绕过利用上线的 GoCS 原创 hututuZh GobySec 昨天 收录于话题 #插件 4个 图片 图片 Goby社区第17 篇插件分享文章 全文共:6214 字 预计阅读时间:16 分钟 前言:Goby 可以快速准确的扫描资产,并直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会
木马免杀之CS免杀与应用开发
没有网络安全就没有国家安全
03-09 1463
木马免杀之CobalStrike免杀与应用开发
::ZheTian / 遮天 强大的Anti-Virus对抗工具
09-29 1523
::ZheTian / 遮天 强大的Anti-Virus对抗工具。
实用cs、mimikatz免杀virscan
xxx9686的博客
09-17 2143
第一步:替换资源,此步骤可以直接免杀360及电脑管家,但是无法过火绒。使用Restorator加载mimikatz后在拖入其他程序资源(此处需要注意,资源需要无毒,资源越好效果越佳。sigthief.py -i 软件文件名 -t 木马文件名 -o 输出位置(此处由于软件从虚拟机中考出有问题,无图)。替换版本及图标资源后,需要给软件上数字签名(正儿八经的软件签名我们没有,可以copy别的软件做伪签名)。简单过360,但是资源未过火绒,在此基础上我们给他添加一个壳即可,任意壳,我们添加vm壳。
红队培训班作业 | 免杀过360火绒 四种方法大对比
Ms08067安全实验室
08-16 3378
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
白加黑免杀-利用微信&QQ上线CS,轻松过某绒、某卫士、Defender
qq_62169455的博客
02-03 4542
通常在运行一个EXE文件的时候,会先加载支持该EXE文件运行的DLL(动态链接库)文件,那如果把其中一个DLL文件替换成恶意DLL,DLL里面注入一个后门文件, 当被攻击者双击执行程序时,就会加载恶意DLL,进而触发后门文件,最终达到控制对方主机的目的。替换DLL操作,也就是我们所说的“DLL劫持”,而“白+黑”里面的“白”则指的是EXE文件(带有数字签名),“黑”则指替换的恶意DLL。
shellCode免杀技巧
qq_39330735的博客
05-15 3176
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
Cobalt Strike特征修改
qq_52839196的博客
02-07 9932
Cobalt Strike相关特征修改
学习渗透第一节:msf攻击永恒之蓝+生成一句话木马+绕过杀毒软件
m0_66963559的博客
03-31 1945
1.search 漏洞名称或者代号,永恒之蓝的是ms17_010(win10win11无这个漏洞),exploit攻击利用脚本是进行漏洞攻击,auxiliary辅助是检测漏洞是否存在。5.用set RHOSTS 目标机ip地址,把win8设置为目标机。4.关闭目标机win8的防火墙,ping通kali。渗透之路暂时终止,等我找到能用的win7镜像再继续。3.查看当前模块的设置,show options。2.use 模块前面的数字或者全称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值