Python免杀木马轻松过Defender,秒杀360火绒

测试环境

  • 联网的Win10 ,开启了Defender
  • 最新的火绒和360杀毒

Defender肯定要取消上传可疑文件的!


测试步骤

这里使用CS生成python类型的木马文件,并对生成的shellcode进行Base64编码和HEX编码,将编码后的shellcode分成几个文件存放,再去请求下载并解码,最后将解码后的shellcode加载到内存中。

编译成EXE,顺便使用upx压缩下:

开启Defender的Win10去下载木马,再去扫描下,可以看到静态查杀是过了:

运行木马文件:


再看CS这边,Win10已经上线:

执行下命令,defender完全不阻拦,动态查杀也过了:

在执行下systeminfo:


微步检测

威胁评分为0,不过被奥地利的这款杀软检测到了。
另外,以后不会再把木马样本上传到云沙箱检测了,因为云沙箱多数时候会把样本发送给厂商,这个就有点蛋疼。

评价

可过Defender基本上能秒杀 某绒和某零,但是python打包成exe还是有点大,体积上不如其他类型的木马小巧

推荐阅读更多精彩内容