杀软对抗 ----> 你真的Bypass火绒了吗?

news2024/11/8 11:18:12

目录

1.白加黑?syscall? ......绕过火绒???

2.内存对抗

​3.CS已死 ??? 是真的 !


玩免杀的都知道,我们说到国产,基本上都是360,对于火绒,是非常好过的(一个动态调用就过了,没啥好说的),但是!!!! 新版的火绒新增了一个功能!! 

                                                                  内存扫描 !!!

这时候某顶级EDR就第一个不服了

 :????? 要不你来座我的位置?????

我们众所周知,卡巴斯基的内存扫描是特别强大的 !! 网上很多人的用cs说什么技术能直接绕过卡巴斯基上线大部分都是假的(内存扫描一扫就挂)而且cs的流量早就被研究的死死的了,就算你配上C2Profile也是存活不久 !!! 

1.白加黑?syscall? ......绕过火绒???

看到网上很多技术,各种loader都说绕过了火绒上线(确实上线了,也没有告警),但是真的如此吗????

上图是我用的一个白加黑 + syscall + C2 Profile 上线的火绒,也是全程没有告警的,执行命令也没问题,目前很多人以为已经绕过了!!但是真的绕过了吗???

 ::去看看安全日志吧孩子

他只不过是扫出来了,但是没有告警罢了!!! 这时候你想去执行一些hashdump logonpasswords这种cs自带的操作也是会被拦截的!!!

如果别人去看安全日志的话,你还是直接寄的!!!(不过也不排除别人不看你成功上线的可能性吧) 。

那么话又说回来了,真的就对抗不了了吗 ???? NO!!!

2.内存对抗

这里不会分享代码(其实也很简单就是对CS的第三块内存进行加密)

这里参考的是WBGIII大佬的Veh + HOOK 的思路,最后魔改了一下(去掉特征配和加密)

cs bypass卡巴斯基内存查杀 2 - 先知社区 (aliyun.com)icon-default.png?t=N7T8https://xz.aliyun.com/t/9399?time__1311=n4%2BxnD0DuAK7qD55BKDsA3O4m2Df22qY5XoA%3D%2BQx这里也是上线了,但是安全日志没有任何的反应!!

这时候我们再去Hashdump,可以看见是能成功Dump下来的!! 

应该说这样,才算是真正的Bypass了火绒!!!!(当然方法不止一种,还有其他的思路,这里仅仅提到了一种)

3.CS已死 ??? 是真的 !

有人说,那既然你绕过了内存扫描,那你不就是直接绕过了卡巴斯基了吗 ??? 那么我们试验一下就知道了!!

还是刚才的Loader ,上线时没什么问题的,但是被杀的是什么时候呢,执行命令!!!

 个人觉得被杀点应该如下(小白如果说错勿喷)

  1. 流量被杀,这里我已经配了C2Profile了,对流量进行了一定的规避,但是CS在不动源码的情况下基本上配了Profile特征也还是很明显(或者说Profile的某些选项即使一个特征!!这个我下一篇Blog来讲)
  2. 行为被杀 ,这里是Veh + Hook ,估计这种通过抛异常,hook Sleep来改内存属性的应该已经是被分析透了,刚公布的时候可能还有用,但是现在应该已经是用处不大了(对于卡巴)
  3. 可能我这只CS的流量特征已经被记录了(以前我刚配好Profile的时候就算不用这种方式去面对卡巴也不会立刻被杀,估计是我这只Profile流量被记录了,你们自己写一个用同样Loader试试看就知道是不是这个原因了!!)
  4. 可能我没用白加黑,信誉度不高,白加黑有可能会好那么一点。

当然,除了上面的Veh + Hook +C2profile + 第三块内存的加密 这种方法,还有很多(网上的手法) 但是无论如何,就算你把CS开的面目全非,加上一些顶尖的手法,CS也是活不久的,所以还是呼应这个标题 CS已死 ????? 是真的 !!! 换C2或者自研C2才是唯一的出路(引用我的一个师傅的一句话hhhhh)     怎么绕过卡巴斯基???? (不用CS!!!)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2072826.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AutoCAD 2010 x64图文安装教程及下载.

AutoCAD 2010 是 Autodesk 于2009年发布的一个版本,是 AutoCAD 系列中的一个重要里程碑。以下是 AutoCAD 2010 x64 的一些关键特性和改进: 参数化绘图:增加了几何约束和尺寸约束功能,使用户能够创建更精确、可调整的设计模型。动…

树章节习题

今天也是小小的把树的章节的内容大体过了一遍,总共有树上dp,LCA(最近公共祖先),树的直径,以及树上差分 P1395 会议 很经典的树上dp里面的换根dp问题,现在这里说几个数组 sz数组,用…

多模态协同学习框架 DMCL

https://arxiv.org/pdf/2408.05914 一.discriminative and robust model 早期传统的reid的工作方式,因无法在大规模数据集上产生有竞争力的结果,所以本文中为相关工作,并未成为本文方法。 二.Dynamic Multimodal Feature Fusion Strategy 提…

计算机毕业设计选题推荐-产品订单管理系统-产品销售管理系统-Java/Python项目实战

✨作者主页:IT研究室✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…

YOLOv8目标检测推理流程及Python代码

在这章中将介绍目标检测推理原理,以及基于onnx模型使用Python语言进行推理。在推理原理章节中,将了解onnx模型的输入和输出,对输入的图片需要进行预处理的操作,对输出的结果需要进行后处理的操作等;在Python代码篇,将给出推理代码。 这里注意一下的是,由于在导出onnx模型…

【数学分析笔记】第2章第4节收敛准则(2)

2. 数列极限 2.4 收敛准则 2.4.1 单调有界定理 【例2.4.3】 x 1 2 , x n 1 3 2 x n , n 1 , 2 , 3 , . . . x_{1}\sqrt{2},x_{n1}\sqrt{32x_{n}},n1,2,3,... x1​2 ​,xn1​32xn​ ​,n1,2,3,...&#xff0c;证明 { x n } \{x_{n}\} {xn​}收敛并求极限。 【证】 0 <…

InternVL 多模态模型部署微调实践

一、什么是InternVL nternVL 是一种用于多模态任务的深度学习模型&#xff0c;旨在处理和理解多种类型的数据输入&#xff0c;如图像和文本。它结合了视觉和语言模型&#xff0c;能够执行复杂的跨模态任务&#xff0c;比如图文匹配、图像描述生成等。通过整合视觉特征和语言信…

中仕公考怎么样?事业编联考、统考、单招介绍

一、事业编考试流程 发布公告——注册报名——交报名费——报名确认——打印准考证|——笔试——调剂——面试——体检——录用 二、招聘公告查看渠道&#xff1a; ①事业单位招聘网 事业单位公告都会发布&#xff0c;包括各类招考信息、报名信息等; ②各省人事考试网 是…

Telnet不止于端口测试:探索经典工具的多样化应用

文章目录 Telnet详解与实用指南1. 引言2. Telnet 的安装和启动2.1 在 Windows 上安装 Telnet2.2 在 Linux 上安装 Telnet2.3 在 macOS 上使用 Telnet 3. Telnet 的基本命令与操作3.1 远程登录3.2 测试端口连通性3.3 调试网络服务3.4 网络协议调试3.5 简单的文件传输 4. Telnet …

继承的初始化顺序

B类继承A类后&#xff0c;new B()后执行顺序如下&#xff1a; 1、执行A类的静态方法&#xff08;只执行一次&#xff09; 2、执行B类的静态方法&#xff08;只执行一次&#xff09; 3、执行A类的成员变量的赋值&#xff08;没有赋值操作则忽略此步&#xff09; 4、执行A类的…

Datawhale X 李宏毅苹果书 AI夏令营(深度学习进阶)taks2(2.1+2.2+2.3)

task2.1 自适应学习率 临界点其实不一定是在训练一个网络的时候会遇到的最大的障碍。 一般在训练一个网络的时候&#xff0c;损失原来很大&#xff0c;随着参数不断的更新&#xff0c;损失会越来越小&#xff0c;最后就卡住了&#xff0c;损失不再下降。当我们走到临界点的时…

VLDB 2024 即将来袭!创邻科技将带来精彩分享

8月26-30日&#xff0c;数据库领域最权威、影响力最大的顶级盛会之一&#xff0c;VLDB 2024 来了&#xff01; VLDB&#xff08;International Conference on Very Large Databases&#xff09;是数据管理、可扩展数据科学和数据库研究人员、厂商、应用开发者以及用户广泛参与…

ssrf简介

目录 SSRF漏洞 漏洞原理 形成原因 SSRF用途: 怎么找到SSRF漏洞? 漏洞案例 SSRF漏洞 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是——种由仅专构造形成由服务端发起请求的一个安全漏洞。一般情况下&#xff0c;SSRF是要目标网站的内部系统。(因为他是…

【原创】java+swing+mysql健身房管理系统设计与实现

个人主页&#xff1a;程序员杨工 个人简介&#xff1a;从事软件开发多年&#xff0c;前后端均有涉猎&#xff0c;具有丰富的开发经验 博客内容&#xff1a;全栈开发&#xff0c;分享Java、Python、Php、小程序、前后端、数据库经验和实战 文末有本人名片&#xff0c;希望和大家…

无人机RTK定位定向技术详解

无人机RTK&#xff08;Real-Time Kinematic&#xff0c;实时动态差分技术&#xff09;定位定向技术&#xff0c;是无人机领域的一项高精度导航与定位技术。它结合了全球导航卫星系统&#xff08;如GPS、GLONASS、Galileo、BDS等&#xff09;与实时差分技术&#xff0c;通过地面…

精彩管道不会梦到深沉蓝调

如果上天开了眼 请多给我点蓝调 多给我点沙锤 多给我点甲壳 让我吃鸡&#xff01; 星元自动机&#xff0c;新的版本之神 给宁磕一个 完蛋 你说这不是问题吗 我这篇文章从我写开始&#xff0c;到写完 炉石都换赛季了&#xff01;&#xff01;&#xff01;&#xff01…

HTB-Redeemer(redis)

前言 各位师傅大家好&#xff0c;我是qmx_07&#xff0c;今天给大家讲解Redeemer这台机器&#xff0c;主要是对redis组件进行渗透&#xff0c;了解思路 渗透过程 更改一下 目录结构&#xff0c;先写 渗透过程&#xff0c;再写 题解 信息搜集 通过nmap扫描 发现开启了6379…

sklearn中的线性回归

多元线性回归 指的 是一个样本 有多个特征的 线性回归问题。 w 被统称为 模型的 参数&#xff0c;其中 w0 被称为截距&#xff08;intercept&#xff09;&#xff0c;w1~wn 被称为 回归系数&#xff08;regression coefficient&#xff09;。这个表达式和 yazb 是同样的…

CMake构建学习笔记4-libjpeg库的构建

libjpeg是一个广泛使用的开源库&#xff0c;用于处理JPEG&#xff08;Joint Photographic Experts Group&#xff09;图像格式的编码、解码、压缩和解压缩功能&#xff0c;是许多图像处理软件和库的基础。 libjpeg本身的构建没什么特别的&#xff0c;不过值得说道的是libjpeg存…

『功能项目』摄像机跟随角色【07】

我们打开上一篇06新输入系统项目&#xff0c; 本章要做的事情是摄像机跟随主角移动&#xff0c; 给主角增加一个Player标签方便主摄像机查找主角对象 在编辑场景调好角度&#xff0c;选择Main Camera对象按键盘Ctrl Shift F使运行场景与编辑场景相同 新建CameraCtrl脚本代码 …