点击上方蓝字关注我们
现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
背景介绍
在攻防演练中,目标主机通常部署以下三类主流终端防护产品,对渗透测试造成显著阻碍:
Windows Defender
核心威胁:实时内存扫描(AMSI)和云查杀对Cobalt Strike等工具敏感,尤其对反射加载、无文件攻击检测能力强。 痛点:需定制化开发免杀载荷,传统静态免杀(如加壳/混淆)易被动态行为检测拦截。
奇安信天擎
核心威胁:基于行为的深度检测引擎,对横向移动工具(如PsExec、WMI)和异常进程链监控严格。 痛点:公开渗透工具(如Mimikatz)签名库覆盖全,需完全自研免杀加载器。
火绒6.0
核心威胁:新增内存扫描和堆栈回溯功能,精准检测CS的Beacon内存特征和Shellcode注入行为。
程序优点:
使用资源文件嵌入驱动,避免直接依赖外部文件。
同时更新kill 火绒6.0、Defender、天擎版本
演示效果
Defender
1.物理机启用defender,首先验证程序的免杀效果:
2.在管理员的权限下直接运行killdefender.exe程序即可。
3.成功强制关闭Defender核心进程MsMpEng.exe 。
1.物理机安装火绒6,首先验证程序的免杀效果:
2.在管理员的权限下直接运行killhuorong.exe程序即可。
3.成功强制关闭火绒核心进程HipsDaemon.exe 。
物理机安装天擎,首先验证程序的免杀效果:
相关地址
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
部分免杀项目源代码
CobaltStrike4.9.1星落专版1.4
一键击溃windows defender
一键击溃火绒进程
CobaltStrike免杀加载器
数据库直连工具免杀版
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
往期推荐
1.
2.
3.
4.
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...