cs免杀loader2(bypass360,火绒6.0,defender)
字数 834 2025-08-30 06:50:12

CS免杀Loader2制作教程(Bypass 360、火绒6.0、Defender)

效果验证

  • 成功绕过360安全卫士
  • 成功绕过火绒6.0
  • 成功绕过Windows Defender
  • 上线后稳定运行20分钟未掉线

加载器制作流程

1. 准备Payload

  • 使用Cobalt Strike生成原生格式(raw)的payload
    • 可选择有阶段或无阶段payload(无阶段更易免杀)
    • 演示使用有阶段payload便于展示

2. SGN加密

  1. 将生成的payload_x64.bin放入SGN工具目录
  2. 执行加密命令: 
    sgn -a 64 -c 1 -o pd.bin payload_x64.bin
    • -a 64: 指定64位架构
    • -c 1: 设置加密轮数
    • -o pd.bin: 输出文件名

3. AES加密

  1. 使用提供的Python脚本aesencode.py对SGN加密后的pd.bin进行AES加密

  2. 脚本会生成:

    • 加密后的数据
    • 加密密钥

  3. 复制脚本输出的"完整的Go解密数据变量定义"部分到Loader代码中

    • 注意删除变量定义中多余的冒号(:)

4. Go代码编译

  1. 使用提供的Loader代码(文中称为loader2)
  2. 将AES加密后的数据和密钥整合到Loader中
  3. 使用Go编译器进行编译,推荐使用参数fuzz技术增强免杀效果

5. 批量编译脚本

使用作者提供的编译脚本(与loader1相同):

yanami.exe -f aes_apc.go
  • 编译成功后生成名为yanami的可执行文件

关键点说明

  1. 双重加密:先使用SGN进行混淆,再用AES加密增强免杀效果
  2. Go语言优势:利用Go语言的特性规避传统杀软检测
  3. 参数Fuzz:通过调整编译参数进一步规避检测
  4. 稳定验证:上线后需等待20分钟验证稳定性

注意事项

  1. 无阶段payload比有阶段payload更容易实现免杀
  2. 复制Go代码变量定义时需仔细检查格式
  3. 编译环境建议使用较新版本的Go编译器
  4. 实际应用中可根据目标环境调整加密轮数和参数

免责声明

本文仅用于安全研究和防御技术学习,请勿用于非法用途。使用者需自行承担相关法律责任。

CS免杀Loader2制作教程(Bypass 360、火绒6.0、Defender) 效果验证 成功绕过360安全卫士 成功绕过火绒6.0 成功绕过Windows Defender 上线后稳定运行20分钟未掉线 加载器制作流程 1. 准备Payload 使用Cobalt Strike生成原生格式(raw)的payload 可选择有阶段或无阶段payload(无阶段更易免杀) 演示使用有阶段payload便于展示 2. SGN加密 将生成的payload_ x64.bin放入SGN工具目录 执行加密命令: -a 64 : 指定64位架构 -c 1 : 设置加密轮数 -o pd.bin : 输出文件名 3. AES加密 使用提供的Python脚本 aesencode.py 对SGN加密后的pd.bin进行AES加密 脚本会生成: 加密后的数据 加密密钥 复制脚本输出的"完整的Go解密数据变量定义"部分到Loader代码中 注意删除变量定义中多余的冒号(:) 4. Go代码编译 使用提供的Loader代码(文中称为loader2) 将AES加密后的数据和密钥整合到Loader中 使用Go编译器进行编译,推荐使用参数fuzz技术增强免杀效果 5. 批量编译脚本 使用作者提供的编译脚本(与loader1相同): 编译成功后生成名为 yanami 的可执行文件 关键点说明 双重加密 :先使用SGN进行混淆,再用AES加密增强免杀效果 Go语言优势 :利用Go语言的特性规避传统杀软检测 参数Fuzz :通过调整编译参数进一步规避检测 稳定验证 :上线后需等待20分钟验证稳定性 注意事项 无阶段payload比有阶段payload更容易实现免杀 复制Go代码变量定义时需仔细检查格式 编译环境建议使用较新版本的Go编译器 实际应用中可根据目标环境调整加密轮数和参数 免责声明 本文仅用于安全研究和防御技术学习,请勿用于非法用途。使用者需自行承担相关法律责任。