-
×代表无法免杀
-
√代表可以免杀
序号 项目地址 项目简介 Microsoft Defender 火绒 360安全卫士 卡巴斯基 时间 备注 1 https://github.com/Pizz33/JoJoLoader 助力红队成员一键生成免杀木马,使用rust实现 (by_hyyrent) × √ × √ 0708自测 2 https://github.com/Joe1sn/S-inject DLL+Shellcode的Windows注入免杀工具 罗列各种方法,免杀推荐搭配其他技巧,要灵活使用 3 https://github.com/T4y1oR/RingQ 一键免杀上线CS、fscan、mimikatz ... × √ √ × 0709自测 create.exe未开源 4 https://github.com/HackerCalico/No_X_Memory_ShellCode_Loader 无可执行权限加载 ShellCode 并非直接生成免杀马 5 https://github.com/Cherno-x/dataBrawl 一键生成免杀木马的 shellcode 免杀框架 大型活动期间暂停维护,已删除核心template 6 https://github.com/A-little-dragon/GoBypassAV Go语言编写的免杀工具,支持自动化随机加解密 × × 0416issue 未开源;执行命令时出错: exit status 1 7 https://github.com/Cipher7/ApexLdr 纯C代码开发的DLL载荷加载器 开源、makefile 8 https://github.com/yj94/BinarySpy 一个手动或自动patch shellcode到二进制文件的免杀工具 免杀依赖于shellcode 0808 9 https://github.com/timwhitez/BinHol 三种方式在你的pe二进制中插入恶意代码 免杀依赖于shellcode 0808 10 https://github.com/yinsel/BypassA 一款基于PE Patch技术的后渗透免杀工具,仅支持x64 无操作步骤说明 0808 未开源 11 https://github.com/hhuang00/go-bypass-loader go实现的shellcode免杀加载器 √ √ 0806作者自述 12 https://github.com/berryalen02/PECracker 针对PE文件的分离的免杀对抗工具。 √ √ 0813作者自述 未开源
| 工具简称 | 概述 | 工具来源 | 下载路径 |
|---|---|---|---|
| x64dbg 中文版安装程序(Jan 6 2024).exe | 52pojie | ||
| hellshell | 官方的加密或混淆shellcode | github | https://gitlab.com/ORCA000/hellshell/-/releases |
| hellshell-网络版本 | github | https://github.com/SenSecurity/Hellshell-with-more-fuctionality | |
| Dependencies.AheadLib.Plugin | 在dependencies上额外加了导出函数 | 看雪 | https://bbs.kanxue.com/thread-260874.htm |
| Dependencies | github | https://github.com/lucasg/Dependencies | |
| ChangeTimestamp.exe | 更改时间戳 | ||
| sgn_windows_amd64_2.0.1 | 对二进制文件编码免杀shellcode | github | https://github.com/EgeBalci/sgn |
| Resource Hacker | |||
| BeaconEye_x64 | 通过扫描CobaltStrike中的内存特征,并进行Beacon Config扫描解析出对应的Beacon信息 | github | https://github.com/CCob/BeaconEye/releases |
| Hunt-Sleeping-Beacons | github | https://github.com/thefLink/Hunt-Sleeping-Beacons | |
| yara-master-2298-win64 | 分类恶意软件样本的工具 | github | https://github.com/VirusTotal/yara |
| Windows_Trojan_CobaltStrike.yar | Elastic安全公司开源检测CobaltStrike的yara规则 | github | https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar |
| hollows_hunter64 | github | https://github.com/hasherezade/hollows_hunter | |
| arsenal_kit | telegram | ||
| DLLSpy | 检测正在运行的进程、服务及其二进制文件中的 DLL 劫持 | github | |
| Process Hacker 2 | 查看进程 | ||
| Alcatraz | 没下载, x64 二进制混淆器,能够混淆各种不同的 pe 文件 | github | https://github.com/weak1337/Alcatraz |
| pestudio-9.58 | 查看文件熵值等信息,逆向等可用 | 官网下载 | https://www.winitor.com/download2 |
| https://junkcode.gehaxelt.in/ | 垃圾代码生成器,降低熵值 | github | https://github.com/gehaxelt/PHP-C---JunkCodeGenerator |
| sgn_windows_amd64_2.0.1 | 编码shellcode | github | |
| ChangeTimestamp.exe | 改时间 | ||
| SigThief | 把签名撕取下来 | github | https://github.com/secretsquirrel/SigThief |
| Restorator2018 | 伪造图标 | https://www.sqlsec.com/tools.html | https://www.sqlsec.com/tools.html |
| BeCyIconGrabber.exe | 伪造图标 | https://www.sqlsec.com/tools.html | https://www.sqlsec.com/tools.html |
| SourcePoint | 自生成Malleable C2 profile | github | https://github.com/Tylous/SourcePoint |
| S-inject | DLL+Shellcode的Windows注入免杀工具 | github | https://github.com/Joe1sn/S-inject |
| RingQ | 免杀,exe2shellcode | github | https://github.com/T4y1oR/RingQ |
| pe2shc.exe | pe_to_shellcode | github | https://github.com/hasherezade/pe_to_shellcode/ |
| pengcode | exe转换成shellcode | github | https://github.com/Mephostophiles/PengCode |
| SharpIncrease | 一种利用二进制填充来逃避 AV 的工具 | github | https://github.com/mertdas/SharpIncrease |
| deoptimizer | 对shellcode进行反优化,rust | github | https://github.com/EgeBalci/deoptimizer |
| DojoLoader | 用于快速原型逃避技术的通用 PE 加载器 | github | https://github.com/naksyn/DojoLoader |
| FetchPayloadFromDummyFile | 使用偏移量数组构造有效载荷 | github | https://github.com/NUL0x4C/FetchPayloadFromDummyFile |
| CFF_Explorer | 看雪 | ||
| CppDevShellcode-master | 使用Visral Studio开发ShellCode | github | |
| ShellcodeCompiler | github | https://github.com/NytroRST/ShellcodeCompiler | |
| 20240125 CobaltStrike arsenal-kit更新 | 主要相比上一次的kit增加了一个对sleepmask的编译混淆,主要解决sleepmask code本身在内存中的特征 | 星球 | https://wx.zsxq.com/dweb2/index/topic_detail/211418818824441 |
| PushPlus2 | 上线自动推送,截图等 | github | https://github.com/S9MF/my_script_tools/tree/main/CS%E6%8F%92%E4%BB%B6 |
| BinHol | Patch白程序的工具 | github | https://github.com/timwhitez/BinHol |
| BinarySpy | Patch白程序的工具 | github | https://github.com/yj94/BinarySpy |
| pconlife | 下载不同内核版本windows里的系统文件,之所以用到它还是因为之前星球里发的Patch手法,今天抓了个样本就是Patch的windows中的系统文件,但是windows不同版本里面的文件也不完全一样,把所有版本都装一遍肯定不现实 | github | https://www.pconlife.com/ |
| ShellcodeCompiler | 将 C/C++ 样式代码编译为适用于 Windows(x86 和 x64)和 Linux(x86 和 x64)的小型、位置独立且无 NULL 的 shellcode 的程序 | github | https://github.com/NytroRST/ShellcodeCompiler |
| shellen | 交互式的 shellcoding 环境 | github | https://github.com/merrychap/shellen |
| SigFlip | SigFlip 是一种用于修补 Authenticode 签名的 PE 文件(exe、dll、sys 等)的工具,而不会使现有签名无效或破坏。 | github | https://github.com/med0x2e/SigFlip |
| microwaveo | 将dll exe 等转成shellcode 最后输出exe 可定制加载器模板 支持白文件的捆绑 shellcode 加密 | github | https://github.com/Ciyfly/microwaveo |
| GoDhijacking | 快速识别可劫持程序、逃避防病毒软件和 EDR(端点检测和响应)系统 | github | https://github.com/m7rick/GoDhijacking |
| BinHol | 三种方式在你的pe二进制中插入恶意代码 | github | https://github.com/timwhitez/BinHol |
| 吾爱破解专用版Ollydbg | 52pojie | ||
| StudyPE+ x64 | PE查看/分析 | 看雪 | https://bbs.kanxue.com/thread-246459-1.htm |
| StudyPE+ x86 | PE查看/分析 | 看雪 | https://bbs.kanxue.com/thread-246459-1.htm |