高级LNK快捷方式，持久化控制

文中介绍，lnk样本伪装为txt文件诱使受害者点击查看，一旦点击将触发powershell 代码执行，创建一个EXE 文件，该 EXE 文件通过计划任务实现持久...

cobaltstrike VS 12款杀毒软件

今天我们将使用完全无法检测的cobaltstrike来pk各大杀毒软件，以测试完全去除特征后的免杀效果。

在杀毒软件上横着走

我们将使用完全无法检测的CobaltStrike，来测试在卡巴斯基与火绒6上操作的表现，如进程注入、屏幕截图、文件操作、端口扫描等，并窃取桌面上的“绝密文件”和...

攻防的较量，杀毒软件的致命缺陷

根据云查杀引擎设计原理，我们发现基于黑白名单的检测机制存在时间绕过的缺陷，这意味着在下一次同步（一般是2-4小时）云规则前，文件仍处于灰名单期间它将绕过。

WPS最新0day漏洞？电脑被控仅仅是一个PDF（含视频）

继上篇文章，我们发现使用Adobe打开PDF可导致电脑被远程控制《无法被拦截的PDF钓鱼》，而现在使用WPS的用户也面临同样的问题，赶紧一起来看下。

无法被拦截的PDF钓鱼

PDF通常被认为是安全的文件，无论在邮件附件，还是聊天工具中。但是很遗憾，PDF已成为新型网络攻击的载体，本技术演示了采用PDF走私技术，将URL嵌入至PDF中...

[bug修复]完全无法检测的CobaltStrike

完全无法检测的CobaltStrike

sleepmask kit只能解决在运行时进行内存保护，这在绕过内存扫描时足够应对，但如果遇到沙箱会发生什么？今天我们将运用之前的一系列内容，修改并配置一个真正...

堆栈欺骗和内存扫描绕过

在这之前，我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV（反病毒软件），但问题来了，除了这类检测手段之外...

地狱之门进程注入官方免杀插件

在武器库的process_inject部分，我们使用kali编译并加载到cobaltstrike，这两个钩子将覆盖大部分的内置命令。

Beacon 命令和 OPSEC 操作绕过查杀

Cobalt Strike有很多远程命令，包括我们熟悉的键盘记录、Mimikatz、屏幕截图等。但目前为止它的许多命令已受到严格监控，一旦操作不慎，可能被检测到...

我有关于免杀的2个概念和3个误区要讲

加载器是一种技术，打个比方，核弹，核弹它不是一个导弹，它是一个弹头配一个推进加载器，用什么推进器和弹头决定了它的威力，你用高超音速导弹，那就很厉害，你用普通导弹...

隐蔽转储lsass，EDR绕过AV免杀

首先这是一个普通用户权限shell，然后使用CVE-2024-26229提权至system。

早鸟注入PPID欺骗EDR绕过免杀加载器

一般的木马运行后，如果本身有外联行为, 容易被EDR检测到异常的网络连接，结束进程shell就掉了，如果我们将进程注入到notepad.exe，则notepad...

免杀360火绒defender小型项目改

APC注入函数，不查杀的原因在于典型函数QueueUserAPC暴露，导入表条目过多。

免杀卡巴斯基及字符串加密

首先是ApiHammering技术，函数在下面，这是规避技术中的一种，目的是制造一些大量无用的看似正常的API操作，这里使用的是读写文件操作。

大华摄像头暴破工具bruteforceCamera

大家好，我是余老师。今天有小伙伴有需求，所以写了个小工具，用于摄像头密码爆破。文末会给出下载地址，后续有需求会持续更新版本。