0


绕过杀软(二)——免杀exe文件(360、火绒免杀)

实验环境

攻击机: win7 IP: 192.168.32.134
靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133

一、生成客户端exe木马

第一步:使用njRAT生产一个客户端exe木马
输入回连端口号8888,点击start
在这里插入图片描述
配置客户端木马的回连地址:192.168.32.134
在这里插入图片描述
将文件保存在桌面
在这里插入图片描述
开启360杀毒,直接报毒,不免杀
在这里插入图片描述

二、对客户端exe木马使用加解密替换方法进行免杀

1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开
在这里插入图片描述
打开之后,将base64加密之后的文件中的所有字母A替换成#
在这里插入图片描述
将base64加密之后的文件中的所有字母T替换成*
在这里插入图片描述
替换完成之后,保存成1.txt文件

在这里插入图片描述
在这里插入图片描述
将1.txt文件中的内容,复制粘贴到下图所示位置
在这里插入图片描述
添加该程序代码需要的引用文件
在这里插入图片描述
按照下图所示,添加完引用文件之后,点击确定
在这里插入图片描述
点击 Properties 按照下图所示配置好,将此代码生成控制台应用程序
在这里插入图片描述
点击生成,如下图所示表示客户端程序exe程序生成完成
在这里插入图片描述
将生成的程序 CsharpEncryptionDecryptor.exe 复制到带有 360、火绒杀软的服务器中,并且开启杀软进行查杀,均未报毒,成功免杀
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在靶机中双击免杀的客户端exe文件:CsharpEncryptionDecryptor.exe
在这里插入图片描述
在win7电脑上查看,发现靶机成功上线

在这里插入图片描述
查看靶机的电脑桌面
在这里插入图片描述
在这里插入图片描述
免杀原理:
将生成的客户端exe文件,进行base64编码,然后将base64编码之后的文本中的A替换成#,T替换成*,之后使用AES算法再次进行加密。以此绕过免杀

更多资源:
1、web安全工具、渗透测试工具、免杀工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
在这里插入图片描述

标签: 安全 web安全 免杀

本文转载自: https://blog.csdn.net/weixin_40412037/article/details/125248429
版权归原作者 W小哥1 所有, 如有侵权,请联系我们删除。

“绕过杀软(二)——免杀exe文件(360、火绒免杀)”的评论:

还没有评论