Awesome
EDR-Bypass-demo
Some demos to bypass EDRs or AVs by 78itsT3@m
本文为7bits系列文章《红队队开发基础-基础免杀》的示例代码
欢迎关注我们的公众号 - Zbits2022
demo 1-3 为《红队队开发基础-基础免杀(一)》的内容
-
demo1:
c++代码,使用disableETW,shellcode加密,隐藏导入表的免杀方式对shellcode进行免杀
-
demo2:
c#代码,使用字符串加密、异或加密、沙箱绕过方式进行bypass AV。
-
demo3:
c#代码,优化demo2的shellcode加载方式,修改SharpInjector,使用EtwpCreateEtwThread加载shellcode。
demo 4-5 为《红队队开发基础-基础免杀(二)》的内容
-
demo4:
c++代码,最简单的syscall例子
-
demo5:
c++代码,使用SysWhispers3的jump方法,绕过对syscall的静态检查
demo 6 为《红队开发基础-基础免杀(三)》的内容
-
demo6:
c++代码,修改RefleXXion使其对user32.dll进行unhook。
chapter4 demo1-4为《红队开发基础-基础免杀(四)》的内容
下面的例子均是忽略流量特征的情况:
- demo1:base64+xor混淆shellcode,过360,火绒。
- demo2:加强了静态混淆,过definder,麦咖啡。
- demo3:加入syscall及apc调用方式,过卡巴斯基edr
- demo4:加入beacon的内存加密,过eset edr