工具介绍
BypassAV 是一款通过 Patch 白文件来实现免杀效果的工具,其主要思路是利用可信的合法程序(白文件)进行修改,从而绕过安全软件的检测。需要指出的是,该方法并未结合其他复杂的免杀手法,因此可能存在快速失效的风险。使用者可以根据提供的 Shellcode 模板自行创建新的变体版本。该工具的作者是 Sakura529。
使用方法
使用流程相对清晰:
- 使用
donut 工具将你的后渗透工具(如 Meterpreter 等)转换为 Shellcode。
- 使用
sgn 等编码器对生成的 Shellcode 进行加密。
- 将加密后的文件命名为
work.bin 即可。
重要注意事项:原始的待转换 exe 文件不能经过任何加密或加壳处理。例如,像 fscan 这类工具的官方发行版通常经过处理,可能无法成功转换为可用的 Shellcode。
开发者强调,本工具仅限于合法的渗透测试和安全研究用途,严禁用于任何非法行为。因滥用本工具而造成的任何后果,需由使用者自行承担。
实际效果测试
如何验证其实际效果呢?以下是在几款主流安全软件环境下的实测截图。
360安全卫士
火绒安全软件
Windows Defender
卡巴斯基终端安全
从测试结果来看,这款基于 Patch 白文件思路的 免杀技术 在特定时间点对所列安全软件具有绕过效果。
参考链接与资源
如果你想深入了解其原理或寻找类似项目,可以参考以下资源:
https://xz.aliyun.com/news/14518
https://www.52pojie.cn/thread-1900852-1-1.html
https://github.com/yinsel/BypassAV
https://github.com/yj94/BinarySpy?tab=readme-ov-file
https://github.com/clownfive/CppDevShellcode
工具下载
该项目的源代码与发布地址如下:
https://github.com/Sakura529/BypassAV
本文技术内容转自公开分享,旨在促进安全技术交流。更多前沿的 安全攻防 技术与实践讨论,欢迎访问 云栈社区 进行探索。
| 
发表于 5 天前
|
查看: 13|
回复: 0
