cs免杀(lodaer1，过国内御三家，微步云查杀)-先知社区

历史记录

清空历史记录

相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题

注册登录

cs免杀(lodaer1，过国内御三家，微步云查杀)

yawataa 发表于四川渗透测试 1682浏览 · 2025-05-24 15:55

1.先放最终代码

实际测试时间 2025年5月7日

展示效果

1.过火绒内存查杀

图片加载失败

图片加载失败

图片加载失败

2.360 无风险

图片加载失败

图片加载失败

图片加载失败

3.过defender

图片加载失败

图片加载失败

实现步骤

1.cs的选择

选择cs4.5也可以，但是火绒6.0的内存查杀机制对这个版本比较严格，需要修改profile文件进行绕过。

或者是直接选择cs4.9或者是vshell(实测，这两个生成的sc能够很轻松的绕过火绒6.0的内存查杀)

（后续我会把我使用的版本和使用到的工具脚本放在百度网盘里面发出来）

2.对cs的处理

（此处我选择的是cs4.9）

我就只改了一个端口，我找的这个版本好像已经修改好了特征

图片加载失败

改成1412这个端口(哈哈哈哈，怪盗基德嘛)

直接进行启动

3.开始免杀

选择这个生成方式，有阶段的

图片加载失败

生成方式为raw(二进制格式的)，我们放到sgn(一个内存加解密工具，后面我会专门写免杀0基础的知识)下面，因为我们等会要使用sgn进行加密我们的shellcode

图片加载失败

图片加载失败

使用sgn进行加密

在cmd窗口这么运行就可以了，会生成一个pd.bin文件，就是我们加密后的sc

图片加载失败

此时我们还需要转换一下因为之后我们要拿去进行rc4加密

de.py脚本(转换脚本)

图片加载失败

拿到我们处理好后的sc

然后再放入

rc4en.py这个脚本进行rc4加密（这么处理是因为面对有阶段的sc的话，如果输出到命令行窗口会数据过大，很慢）

图片加载失败

我们再把这个加密后的sc放入我们的load代码里面

先运行一下测试能否上线

图片加载失败

欧克能正常上线，但是用go写免杀的都知道，这个加载器没有隐藏黑框的功能

图片加载失败

他执行的时候是会有黑框的，我测试了网上的几种方式，但是都并不好用。我选择的是用的vc里的某个工具(editbin.exe),修改exe的属性，让其没有黑框

原本的命令行命令

并且360对编译参数也有要求，所以我抄了一个使用不同参数fuzz编译的脚本，和写了一个批量隐藏黑框的脚本

go语言()

批量编译

批量隐藏黑框的脚本

我的已经编译完成了

图片加载失败

然后我们先使用yanami.exe进行批量编译

图片加载失败

然后再使用

changeme.exe进行批量隐藏黑框(这个需要配置环境变量，如果师傅们不能正常使用的话可以改一下脚本重新编译，我放在上面的，或者是之后我出一个配置环境变量的步骤笔记)

图片加载失败

就这样这些免杀就做好了

图片加载失败

留个坑，后面发文件分离版本的

0 人收藏 0 人喜欢

分享

5 条评论

某人

表情

: 用户6mKoML0iIn
2025-06-18 17:03 0 回复

能不能出一个一键式的，傻瓜般的，这有点儿复杂啊

: 用户tjFtMmzljM
2025-06-03 09:20 0 回复

复现时候，360直接给我秒了😂

: yawataa
2025-06-04 16:00 0 回复

可能是我隐藏黑框的那个方法已经不行了，360确实对go有点疯狂了哈哈哈

: 路人甲
2025-05-28 08:06 0 回复

记录一下，等百度网盘地址，等你对应的小工具。真实是想看一下放VT的查杀效果

: yawataa
2025-05-28 12:34 1 回复

其实的话小工具只放了那个批量编译和隐藏黑框的，我记得，在文章中把每一步和代码都写出来的√小工具是我安装我的环境变量的编译出来的，可能不适用。通过网盘分享的文件：yawataa_load1.zip
链接: https://pan.baidu.com/s/1h_dn0akUqYZ0XCGRJnM_fw?pwd=rsa9 提取码: rsa9
--来自百度网盘超级会员v4的分享

热门文章

优秀作者

目录

先知社区