免杀知识库 免杀工具汇总

02955

免杀木马生成器

🟢 github上的免杀项目

    • ×代表无法免杀

免杀中用到的工具

🟢 绝大部分无法直接生成免杀木马,开发、测试免杀时会用到。

工具简称概述工具来源下载路径
x64dbg 中文版安装程序(Jan 6 2024).exe 52pojie 
hellshell官方的加密或混淆shellcodegithubhttps://gitlab.com/ORCA000/hellshell/-/releases
hellshell-网络版本 githubhttps://github.com/SenSecurity/Hellshell-with-more-fuctionality
Dependencies.AheadLib.Plugin在dependencies上额外加了导出函数看雪https://bbs.kanxue.com/thread-260874.htm
Dependencies githubhttps://github.com/lucasg/Dependencies
ChangeTimestamp.exe更改时间戳  
sgn_windows_amd64_2.0.1对二进制文件编码免杀shellcodegithubhttps://github.com/EgeBalci/sgn
Resource Hacker   
BeaconEye_x64通过扫描CobaltStrike中的内存特征,并进行Beacon Config扫描解析出对应的Beacon信息githubhttps://github.com/CCob/BeaconEye/releases
Hunt-Sleeping-Beacons githubhttps://github.com/thefLink/Hunt-Sleeping-Beacons
yara-master-2298-win64分类恶意软件样本的工具githubhttps://github.com/VirusTotal/yara
Windows_Trojan_CobaltStrike.yarElastic安全公司开源检测CobaltStrike的yara规则githubhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar
hollows_hunter64 githubhttps://github.com/hasherezade/hollows_hunter
arsenal_kit telegram 
DLLSpy检测正在运行的进程、服务及其二进制文件中的 DLL 劫持github 
Process Hacker 2查看进程  
Alcatraz没下载, x64 二进制混淆器,能够混淆各种不同的 pe 文件githubhttps://github.com/weak1337/Alcatraz
pestudio-9.58查看文件熵值等信息,逆向等可用官网下载https://www.winitor.com/download2
https://junkcode.gehaxelt.in/垃圾代码生成器,降低熵值githubhttps://github.com/gehaxelt/PHP-C—JunkCodeGenerator
sgn_windows_amd64_2.0.1编码shellcodegithub 
ChangeTimestamp.exe改时间  
SigThief把签名撕取下来githubhttps://github.com/secretsquirrel/SigThief
Restorator2018伪造图标https://www.sqlsec.com/tools.htmlhttps://www.sqlsec.com/tools.html
BeCyIconGrabber.exe伪造图标https://www.sqlsec.com/tools.htmlhttps://www.sqlsec.com/tools.html
SourcePoint自生成Malleable C2 profilegithubhttps://github.com/Tylous/SourcePoint
S-injectDLL+Shellcode的Windows注入免杀工具githubhttps://github.com/Joe1sn/S-inject
RingQ免杀,exe2shellcodegithubhttps://github.com/T4y1oR/RingQ
pe2shc.exepe_to_shellcodegithubhttps://github.com/hasherezade/pe_to_shellcode/
pengcodeexe转换成shellcodegithubhttps://github.com/Mephostophiles/PengCode
SharpIncrease一种利用二进制填充来逃避 AV 的工具githubhttps://github.com/mertdas/SharpIncrease
deoptimizer对shellcode进行反优化,rustgithubhttps://github.com/EgeBalci/deoptimizer
DojoLoader用于快速原型逃避技术的通用 PE 加载器githubhttps://github.com/naksyn/DojoLoader
FetchPayloadFromDummyFile使用偏移量数组构造有效载荷githubhttps://github.com/NUL0x4C/FetchPayloadFromDummyFile
CFF_Explorer 看雪 
CppDevShellcode-master使用Visral Studio开发ShellCodegithub 
ShellcodeCompiler githubhttps://github.com/NytroRST/ShellcodeCompiler
20240125 CobaltStrike arsenal-kit更新主要相比上一次的kit增加了一个对sleepmask的编译混淆,主要解决sleepmask code本身在内存中的特征星球https://wx.zsxq.com/dweb2/index/topic_detail/211418818824441
PushPlus2上线自动推送,截图等githubhttps://github.com/S9MF/my_script_tools/tree/main/CS%E6%8F%92%E4%BB%B6
BinHolPatch白程序的工具githubhttps://github.com/timwhitez/BinHol
BinarySpyPatch白程序的工具githubhttps://github.com/yj94/BinarySpy
pconlife下载不同内核版本windows里的系统文件,之所以用到它还是因为之前星球里发的Patch手法,今天抓了个样本就是Patch的windows中的系统文件,但是windows不同版本里面的文件也不完全一样,把所有版本都装一遍肯定不现实githubhttps://www.pconlife.com/
ShellcodeCompiler将 C/C++ 样式代码编译为适用于 Windows(x86 和 x64)和 Linux(x86 和 x64)的小型、位置独立且无 NULL 的 shellcode 的程序githubhttps://github.com/NytroRST/ShellcodeCompiler
shellen交互式的 shellcoding 环境githubhttps://github.com/merrychap/shellen
SigFlipSigFlip 是一种用于修补 Authenticode 签名的 PE 文件(exe、dll、sys 等)的工具,而不会使现有签名无效或破坏。githubhttps://github.com/med0x2e/SigFlip
microwaveo将dll exe 等转成shellcode 最后输出exe 可定制加载器模板 支持白文件的捆绑 shellcode 加密githubhttps://github.com/Ciyfly/microwaveo
GoDhijacking快速识别可劫持程序、逃避防病毒软件和 EDR(端点检测和响应)系统githubhttps://github.com/m7rick/GoDhijacking
BinHol三种方式在你的pe二进制中插入恶意代码githubhttps://github.com/timwhitez/BinHol
吾爱破解专用版Ollydbg 52pojie 
StudyPE+ x64PE查看/分析看雪https://bbs.kanxue.com/thread-246459-1.htm
StudyPE+ x86PE查看/分析看雪https://bbs.kanxue.com/thread-246459-1.htm

免杀学习链接

🟢 比较近期的技术文章、或是一些免杀技术总结等

【Web实战】先锋马免杀分享

AniYa-GUI免杀框架

释放看不见的威胁:利用钴攻击配置文件的力量来逃避 EDR

go实现免杀(实用思路篇)

CobaltStrike的狩猎与反狩猎

【CS学习笔记】26、杀毒软件

进程启动&断链

攻击性 Windows IPC 内部原理 2:RPC

shellcode-loader汇总

CobaltStrike 4.9.10

COM调用 断链

杀软EDR都没检出?一文秒懂“银狐”四大绕过手法

攻防演练 | 分享一次应急处置案例

学习免杀的笔记汇总

免杀杂谈

红队技术-钓鱼手法及木马免杀技巧

助力每一位RT队员,快速生成免杀木马

免杀手法大总结(入门)

C++熵减法免杀-Mimikatz免杀

动态生成key免杀

免杀学习-从指令绕过开始(2)

obj2shellcode 前人不仅具有智慧,更具分享精神

自定义跳转函数的unhook方法

rust 免杀,方法记录

混淆的文件或信息: 二进制填充

Raising Beacons without UDRLs and Teaching them How to Sleep

x86下借助回调函数以干净的栈执行内存权限修改

EDRPrison:借用合法WFP驱动程序来静音 EDR 代理

规避ETW事件监控检测

Windows Rootkit与Bootkit技术列表与威胁

Windows 11 VBS enclave虚拟化保护技术

利用偏移数组在运行时构造载荷

按需动态解密内存节区,闲置时重新加密

修改Powershell配置文件永久关闭AMSI与ETW

Bootkit内核修补检测绕过

借助VEH和汇编指令加密规避内存扫描

睡眠状态Beacon识别工具

恶意Windows进程、线程异常状态识别

绕过PowerShell ScriptBlock日志

借助硬件断点提取明文RDP密码

渐进式 Web 应用程序 (PWA) 网络钓鱼

深入研究PE文件格式

自定义反射DLL与注入器项目

Window Defender ASR规则提取工具

禁用Windows Defender防篡改功能

File-Tunnel:借助文件隧道打通TCP连接

借助合法取证工具绕过EDR读取NTDS.dit

编写自己的C#混淆器

深入剖析Window内核Secure Image对象

dirDevil:在文件夹结构中隐藏代码和内容

40+43+74 种权限提升方法集合(Linux/Windows/macOS)

Windows下Shellcode编写详解

Window向之x86 ShellCode入门

[2024]通杀检测基于白文件patch黑代码的免杀技术的后门

记一次Patch exe 文件实现的静态免杀

一种基于patch免杀技术的自动化实现VT0

通杀检测基于白文件patch黑代码的免杀技术的后门

“银狐”变”隐狐”,最新攻击透视

EDR 如何运作?我们详细分析防病毒保护机制

一种接管 Windows 更新以制作自定义降级并暴露过去已修复漏洞的工具

shellcode生成框架

利用微软Office反沙箱

BASE64 编码的 PE 文件总是以 T 开头

滥用 AV/EDR 排除来逃避检测

BOF及cna插件开发初探

PDF文件点击下载木马

数据编码为伪 ASM 指令,并将其编译到二进制文件的 .text 部分

通过隐藏导入表的方式规避杀软

【免杀】回调执行shellcodez

zhis通过回调执行 Shellcode

知识库

© 版权声明
文章版权归作者所有,转载请标明出处。
THE END
安全工具
喜欢就支持一下吧
点赞5 分享
李白的头像-李白你好永久会员
李白你好VIP社区-网络安全情报攻防站介绍【请耐心看完】-李白你好
李白你好VIP社区-网络安全情报攻防站介绍【请耐心看完】
李白你好VIP社区-网络安全情报攻防站介绍【请耐心看完】
2个月前 1753
Vshell-listens-李白你好
Vshell-listens
Vshell-listens
9个月前 1175
证书列表【包下证系列】-李白你好
证书列表【包下证系列】
证书列表【包下证系列】
2个月前 1064
2025渗透攻防相关工具集合-李白你好
2025渗透攻防相关工具集合
2025渗透攻防相关工具集合
3个月前 757
红队武器库漏洞利用工具合集整理-李白你好
红队武器库漏洞利用工具合集整理
红队武器库漏洞利用工具合集整理
8个月前 621
【涉我威胁预警】河南某教育科技有限公司涉嫌数据泄露-李白你好
【涉我威胁预警】河南某教育科技有限公司涉嫌数据泄露
【涉我威胁预警】河南某教育科技有限公司涉嫌数据泄露
1个月前 577
相关推荐
Vshell-listens-李白你好
Vshell-listens
Vshell-listens
9个月前 1175
2025渗透攻防相关工具集合-李白你好
2025渗透攻防相关工具集合
2025渗透攻防相关工具集合
3个月前 757
红队武器库漏洞利用工具合集整理-李白你好
红队武器库漏洞利用工具合集整理
红队武器库漏洞利用工具合集整理
8个月前 621
GeoServer漏洞利用工具,一键注入内存马-李白你好
GeoServer漏洞利用工具,一键注入内存马
GeoServer漏洞利用工具,一键注入内存马
3个月前 466
Shiro反序列化漏洞综合利用,在原版工具上进行一些功能增加。-李白你好
Shiro反序列化漏洞综合利用,在原版工具上进行一些功能增加。
Shiro反序列化漏洞综合利用,在原版工具上进行一些功能增加。
26天前 427
优秀开源攻防武器项目集合-李白你好
优秀开源攻防武器项目集合
优秀开源攻防武器项目集合
2个月前 396
天狐渗透工具箱-社区版V1.0-李白你好
天狐渗透工具箱-社区版V1.0
天狐渗透工具箱-社区版V1.0
2个月前 365
Burp suite 短信轰炸辅助绕过插件-李白你好
Burp suite 短信轰炸辅助绕过插件
Burp suite 短信轰炸辅助绕过插件
1个月前 353
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容