描述
收集的各个有关于免杀规避的Github仓库。
UAC(用户账户控制)
hfiref0x/UACME:击败Windows用户账户控制
hackerhouse-opensource/iscsicpl_bypassUAC:x64 Windows 7 – 11 的 UAC 绕过
IFaultrep高架绕过UAC
DosX-dev/UAC-Exploit:UAC漏洞利用 (Win 10 / 11)
rootm0s/WinPwnage:UAC 绕过、提升、持久性方法
Kudaes/Elevator:通过布拉格RPC和调试对象绕过UAC。
ColorDataProxyUACBypass:抓取进程利用com接口来编辑障碍绕过uac
hackerhouse-opensource/CompMgmtLauncher_DLL_UACBypass:CompMgmtLauncher 和 Sharepoint DLL 搜索顺序劫持 UAC/persist 通过 OneDrive
Rubeus:Kerberos 绕过 UAC
SspiUacBypass:利用SSPI数据报边界绕过UAC
hackerhouse-opensource/iscsicpl_bypassUAC:x64 Windows 7 – 11 的 UAC 绕过
IFaultrep高架绕过UAC
DosX-dev/UAC-Exploit:UAC漏洞利用 (Win 10 / 11)
rootm0s/WinPwnage:UAC 绕过、提升、持久性方法
Kudaes/Elevator:通过布拉格RPC和调试对象绕过UAC。
ColorDataProxyUACBypass:抓取进程利用com接口来编辑障碍绕过uac
hackerhouse-opensource/CompMgmtLauncher_DLL_UACBypass:CompMgmtLauncher 和 Sharepoint DLL 搜索顺序劫持 UAC/persist 通过 OneDrive
Rubeus:Kerberos 绕过 UAC
SspiUacBypass:利用SSPI数据报边界绕过UAC
EDR绕过
jthuraisamy/SysWhispers2:通过直接系统调用逃避AV/EDR。
MrEmpy/Awesome-AV-EDR-XDR-Bypass:很棒的 AV/EDR/XDR 旁路技巧
MrEmpy/Condor:「🛡️」AVs/EDRs/XDRs 躲避工具
ORCx41/KnownDllUnhook:将当前加载模块的.txt部分从 \KnownDlls\ 替换为绕过 edrs
optiv/Freeze:Freeze 是一个有效负载工具包,用于使用挂起进程、直接系统调用和替代执行方法绕过 EDR
klezVirus/inceptor:AV/EDR规避框架的模板驱动
Dirty-Vanity:新注入技术的POC,补丁Windows fork API来逃避EDR
UnhookingPatch:通过修复 NT API 存根并在运行时解析 SSN 和系统调用指令来绕过 EDR 挂钩
FilelessNtdllReflection:通过基于 Windows ReleaseID 从远程服务器在内存中加载反射 Ntdll 来绕过 Userland EDR 挂钩,打开 ntdll 的句柄,并从导出表触发导出的 API
BypassAV:此图推出了绕过反病毒和 EDR 的基本技术
2023年工艺注入,规避领先的EDR |
文森特·范·米格姆
Blindside:利用硬件中断点来逃避端点检测和响应平台的监控
optiv/Freeze.rs:有效负载工具包,用于使用挂起进程阻塞EDR,直接系统调用用RUST编写
ContainYourself:DEF CON 31中提出了ContainYourself研究的POC,该研究阻碍Windows容器框架来绕过EDR。
DllNotificationInjection:一种新的“无线程”进程填充技术的 POC,该技术通过在本地和远程进程中利用 DLL 通知回调的概念来工作。
MrEmpy/Awesome-AV-EDR-XDR-Bypass:很棒的 AV/EDR/XDR 旁路技巧
MrEmpy/Condor:「🛡️」AVs/EDRs/XDRs 躲避工具
ORCx41/KnownDllUnhook:将当前加载模块的.txt部分从 \KnownDlls\ 替换为绕过 edrs
optiv/Freeze:Freeze 是一个有效负载工具包,用于使用挂起进程、直接系统调用和替代执行方法绕过 EDR
klezVirus/inceptor:AV/EDR规避框架的模板驱动
Dirty-Vanity:新注入技术的POC,补丁Windows fork API来逃避EDR
UnhookingPatch:通过修复 NT API 存根并在运行时解析 SSN 和系统调用指令来绕过 EDR 挂钩
FilelessNtdllReflection:通过基于 Windows ReleaseID 从远程服务器在内存中加载反射 Ntdll 来绕过 Userland EDR 挂钩,打开 ntdll 的句柄,并从导出表触发导出的 API
BypassAV:此图推出了绕过反病毒和 EDR 的基本技术
2023年工艺注入,规避领先的EDR |
文森特·范·米格姆
Blindside:利用硬件中断点来逃避端点检测和响应平台的监控
optiv/Freeze.rs:有效负载工具包,用于使用挂起进程阻塞EDR,直接系统调用用RUST编写
ContainYourself:DEF CON 31中提出了ContainYourself研究的POC,该研究阻碍Windows容器框架来绕过EDR。
DllNotificationInjection:一种新的“无线程”进程填充技术的 POC,该技术通过在本地和远程进程中利用 DLL 通知回调的概念来工作。
ShellCode
kensh1ro/dart-shellcode:在 Dart 中执行 shellcode 的 PoC
kleiton0x00/Shelltropy:一种通过香农编码隐藏恶意 shellcode 的技术。
phra/PEzor: 开源 Shellcode & PE Packer
H1d3r/GPU_ShellCode
ParrotSec/shellter
iilegacyyii/Shellcrypt:一个混淆 shellcode 的 QoL 工具。 将来将能够链接编码/加密/压缩方法。
9emin1/charlotte: c++ fully undetected shellcode launcher 😉
cepxeo/dll4shell: 用于 AV 绕过的 Shellcode 启动器
Bl4ckM1rror/FUD-UUID-Shellcode
zeroSteiner/crimson-forge:可持续的 shellcode 规避
Shoggoth:基于 Asmjit 的多态加密器
kleiton0x00/Shelltropy:一种通过香农编码隐藏恶意 shellcode 的技术。
phra/PEzor: 开源 Shellcode & PE Packer
H1d3r/GPU_ShellCode
ParrotSec/shellter
iilegacyyii/Shellcrypt:一个混淆 shellcode 的 QoL 工具。 将来将能够链接编码/加密/压缩方法。
9emin1/charlotte: c++ fully undetected shellcode launcher 😉
cepxeo/dll4shell: 用于 AV 绕过的 Shellcode 启动器
Bl4ckM1rror/FUD-UUID-Shellcode
zeroSteiner/crimson-forge:可持续的 shellcode 规避
Shoggoth:基于 Asmjit 的多态加密器
后门生成器
Winpayloads,无法检测的Windows有效负载生成,下载Winpayloads的源码
HackTheWorld,用于生成迄今为止绕过所有防病毒软件的有效负载的 Python 脚本
G1ft3dC0d3/MsfMania:Python AV 规避工具
Anti-Virus-Evading-Payloads/Bypass-AV-Payload-Detection.MD at main · RoseSecurity/Anti-Virus-Evading-Payloads
CyberForce/Pesidious:使用强化学习和生成对抗网络的恶意软件变异
Veil-Framework/Veil-Pillage:Veil-Pillage 是一个与 Veil-Evasion 集成的后开发框架。
Veil-Framework/Veil: Veil 3.1.X(在运行时检查 Veil 中的版本信息)
The-MALWARE-Repo/RAT at master · Da2dalus/The-MALWARE-Repo
LordNoteworthy/al-khaser: Public malware techniques used in the wild: Virtual Machine, Emulation, Debuggers, Sandbox detection.
mertdas/Slayer: 杀手go免杀
ORCx41/TerraLdr: 高级规避的有效载荷加载器
Ch0pin/AVIator:病毒逃逸
Idov31/Sandman:Sandman 是一个基于 NTP 的后门,用于红队参与强化网络。
ORCx41/AtomPePacker:功能强大的 Pe Packer
GitHub – secretsquirrel/the-backdoor-factory: Patch PE, ELF, Mach-O binaries with shellcode new version in development, available only to sponsors
GgBoom-993/xorshell:编码器 PHP Webshell 使用 XOR 操作绕过 WAF。
HackTheWorld,用于生成迄今为止绕过所有防病毒软件的有效负载的 Python 脚本
G1ft3dC0d3/MsfMania:Python AV 规避工具
Anti-Virus-Evading-Payloads/Bypass-AV-Payload-Detection.MD at main · RoseSecurity/Anti-Virus-Evading-Payloads
CyberForce/Pesidious:使用强化学习和生成对抗网络的恶意软件变异
Veil-Framework/Veil-Pillage:Veil-Pillage 是一个与 Veil-Evasion 集成的后开发框架。
Veil-Framework/Veil: Veil 3.1.X(在运行时检查 Veil 中的版本信息)
The-MALWARE-Repo/RAT at master · Da2dalus/The-MALWARE-Repo
LordNoteworthy/al-khaser: Public malware techniques used in the wild: Virtual Machine, Emulation, Debuggers, Sandbox detection.
mertdas/Slayer: 杀手go免杀
ORCx41/TerraLdr: 高级规避的有效载荷加载器
Ch0pin/AVIator:病毒逃逸
Idov31/Sandman:Sandman 是一个基于 NTP 的后门,用于红队参与强化网络。
ORCx41/AtomPePacker:功能强大的 Pe Packer
GitHub – secretsquirrel/the-backdoor-factory: Patch PE, ELF, Mach-O binaries with shellcode new version in development, available only to sponsors
GgBoom-993/xorshell:编码器 PHP Webshell 使用 XOR 操作绕过 WAF。
文件隐写
7thSamurai/steganography:简单 C++图像隐写
peewpw/Invoke-PSImage:在 PNG 文件的像素中编码一个 PowerShell 脚本,并生成一个 oneliner 来执行
PackMyPayload将有效负载打包到iso的 PoC,以规避 Mark-of-the-Web 标志并展示与容器文件格式相关的风险。 支持:ZIP、7zip、PDF、ISO、IMG、CAB、VHD、VHDX
luci61/Exe-to-pdf: Exe to PDF exploit Builder with 0 detections. Runtime and Scantime
W1LDN16H7/StegoCracker:Stego 是一个开源和免费的隐写工具,可让您将您的秘密信息隐藏在图像或音频文件中。 您不会注意到图像或音频文件有任何变化。 但是,您的秘密信息将在原始图像或音频文件中
FortyNorthSecurity/EXCELntDonut:Excel 4.0 (XLM) 宏生成器,用于将 DLL 和 EXE 注入内存。
dlegs/php-jpeg-injector:将 php 有效负载注入 jpeg 图像
OffensiveVBA: office文档宏代码执行和绕过
Bashfuscator:Bash 混淆框架
peewpw/Invoke-PSImage:在 PNG 文件的像素中编码一个 PowerShell 脚本,并生成一个 oneliner 来执行
PackMyPayload将有效负载打包到iso的 PoC,以规避 Mark-of-the-Web 标志并展示与容器文件格式相关的风险。 支持:ZIP、7zip、PDF、ISO、IMG、CAB、VHD、VHDX
luci61/Exe-to-pdf: Exe to PDF exploit Builder with 0 detections. Runtime and Scantime
W1LDN16H7/StegoCracker:Stego 是一个开源和免费的隐写工具,可让您将您的秘密信息隐藏在图像或音频文件中。 您不会注意到图像或音频文件有任何变化。 但是,您的秘密信息将在原始图像或音频文件中
FortyNorthSecurity/EXCELntDonut:Excel 4.0 (XLM) 宏生成器,用于将 DLL 和 EXE 注入内存。
dlegs/php-jpeg-injector:将 php 有效负载注入 jpeg 图像
OffensiveVBA: office文档宏代码执行和绕过
Bashfuscator:Bash 混淆框架
PowerShell
Chimera, Chimera 是一个(闪亮且非常黑客化的)PowerShell 混淆脚本,旨在绕过 AMSI 和商业防病毒解决方案,下载Chimera 的源码_GitHub_酷徒
Invoke-Obfuscation:Powershell 混淆
BlackHeart 生成powershell绕过defender
Amsi-Bypass-Powershell: Amsi 绕过方法。
Invoke-GPTObfuscation: PowerShell 混淆器,它利用 OpenAI(和其他 API)来混淆您的 PowerShell 渗透测试代码
LightsOut:生成一个混淆的 DLL,它将禁用 AMSI 和 ETW
Invoke-Obfuscation:Powershell 混淆
BlackHeart 生成powershell绕过defender
Amsi-Bypass-Powershell: Amsi 绕过方法。
Invoke-GPTObfuscation: PowerShell 混淆器,它利用 OpenAI(和其他 API)来混淆您的 PowerShell 渗透测试代码
LightsOut:生成一个混淆的 DLL,它将禁用 AMSI 和 ETW
Denfender绕过
GitHub – swagkarna/Defeat-Defender-V1.2: 强大的批处理脚本,可拆除完整的 Windows Defender 保护,甚至绕过篡改保护 ..Disable Windows-Defender Permanently..Hack windows. POC
美味的意大利辣香肠/RunAsWinTcb
Enelg52/Gofrette:Gofrette 是一个用 Golang 开发的反向 shell 有效负载,可以绕过 Windows Defender 和许多其他防病毒软件。
美味的意大利辣香肠/RunAsWinTcb
Enelg52/Gofrette:Gofrette 是一个用 Golang 开发的反向 shell 有效负载,可以绕过 Windows Defender 和许多其他防病毒软件。
逆向
ScyllaHide:高级用户模式反反调试器
horsicq/XELFViewer:适用于 Windows、Linux 和 MacOS 的 ELF 文件查看器/编辑器。
Nauz-File-Detector,适用于Windows、Linux和MacOS的链接器/编译器/工具检测器,下载Nauz-File-Detector的源码_GitHub_帮酷
NationalSecurityAgency/ghidra: Ghidra is a software reverse engineering (SRE) framework
ImHex: 面向逆向工程师、程序员和那些在凌晨 3 点工作时重视视网膜的人的十六进制编辑器。
rizinorg/cutter:由 rizin 提供支持的免费开源逆向工程平台
FISSURE:适用于所有人的 RF 和逆向工程框架
恶意软件逆向手册_Handbook.pdf
horsicq/XELFViewer:适用于 Windows、Linux 和 MacOS 的 ELF 文件查看器/编辑器。
Nauz-File-Detector,适用于Windows、Linux和MacOS的链接器/编译器/工具检测器,下载Nauz-File-Detector的源码_GitHub_帮酷
NationalSecurityAgency/ghidra: Ghidra is a software reverse engineering (SRE) framework
ImHex: 面向逆向工程师、程序员和那些在凌晨 3 点工作时重视视网膜的人的十六进制编辑器。
rizinorg/cutter:由 rizin 提供支持的免费开源逆向工程平台
FISSURE:适用于所有人的 RF 和逆向工程框架
恶意软件逆向手册_Handbook.pdf
其它
Unknow101/FuckThatPacker:一个简单的 python 打包程序,可以轻松绕过 Windows Defender
Wra7h/ARCInject:覆盖进程的恢复回调并使用 WER 执行
pwn1sher/KillDefender:一个小型 POC,通过删除其令牌特权并降低令牌完整性来使防御者无用
TartarusLabs/Coyote:Coyote 是一个独立的 C# 漏洞利用后植入程序,用于在红队参与期间保持对受损 Windows 基础架构的访问。
DavidBuchanan314/dlinject:将共享库(即任意代码)注入实时 linux 进程,无需 ptrace
mgeeky/ProtectMyTooling: Multi-Packer allowing to daisy-chain over 29 packers, obfuscators and other Red Team oriented weaponry. Featured with artifacts watermarking, IOCs collection & PE Backdooring. You feed it with your implant, it does a lot of sneaky things and spits out obfuscated executable.
last-byte/RIPPL:RIPPL 是一种滥用用户模式仅利用来操纵 Windows 上的 PPL 进程的工具
oXis/GPUSleep:睡眠时将 CS 信标移动到 GPU 内存
dhondta/awesome-executable-packing: A curated list of awesome resources related to executable packing
janoglezcampos/DeathSleep:一种规避技术的 PoC 实现,用于终止当前线程并在恢复执行之前将其恢复,同时在不执行期间实现页面保护更改。
billythegoat356/Jawbreaker:使用 HTTP 请求和 Hastebin 的 Python 混淆器。
ORCx41/EtwSessionHijacking:关于阻止 Procmon 监控网络事件的 Poc
CopernicusPY/wget-root:这是一个 python 脚本,当设置了 SUID 位时会利用 wget,并覆盖 root 密码。
APIHashReplace:api hash替换
OccamsXor/sim-ba: (Sim)ulate (Ba)zar Loader
Idov31/Cronos:一种新的睡眠混淆技术的 PoC,它利用可等待的计时器来逃避内存扫描器。
/monomorph: 所有有效载荷都具有相同的 MD5 哈希
JLospinoso/gargoyle:一种内存扫描规避技术
NoRunPI: 不运行payload运行payload
WMEye: WMEye 后期利用
AmsiScanner:用于与反恶意软件扫描接口 API 交互以进行渗透测试的工具。
pycrypt: 基于python的加密绕过
SLib: 一个沙箱规避库
XaFF-XaFF/Cronos-Rootkit: Cronos is Windows 10/11 x64 ring 0 rootkit. Cronos is able to hide processes, protect and elevate them with token manipulation.
FortyNorthSecurity/C2concealer:C2concealer 是一个命令行工具,可生成随机的 C2 可延展配置文件以用于 Cobalt Strike。
TheNewAttacker64/Theattacker-Crypter:使用不同技术逃避杀毒软件的工具
BlackLotus:BlackLotus UEFI Windows Bootkit
Amsi_Bypass_In_2023:适用于 Windwos 11 的 Amsi Bypass 有效负载
ASProtect 32 – 具有保护功能的 32 位软件加壳器
Reg-Restore-Persistence-Mole: 得持久性并规避 sysmon 事件代码注册表(创建、更新和删除) REG_NOTIFY_CLASS sysmon 驱动程序过滤器的注册表回调。RegSaveKeyExW() 和 RegRestoreKeyW() API 不包含在监控中
Wra7h/ARCInject:覆盖进程的恢复回调并使用 WER 执行
pwn1sher/KillDefender:一个小型 POC,通过删除其令牌特权并降低令牌完整性来使防御者无用
TartarusLabs/Coyote:Coyote 是一个独立的 C# 漏洞利用后植入程序,用于在红队参与期间保持对受损 Windows 基础架构的访问。
DavidBuchanan314/dlinject:将共享库(即任意代码)注入实时 linux 进程,无需 ptrace
mgeeky/ProtectMyTooling: Multi-Packer allowing to daisy-chain over 29 packers, obfuscators and other Red Team oriented weaponry. Featured with artifacts watermarking, IOCs collection & PE Backdooring. You feed it with your implant, it does a lot of sneaky things and spits out obfuscated executable.
last-byte/RIPPL:RIPPL 是一种滥用用户模式仅利用来操纵 Windows 上的 PPL 进程的工具
oXis/GPUSleep:睡眠时将 CS 信标移动到 GPU 内存
dhondta/awesome-executable-packing: A curated list of awesome resources related to executable packing
janoglezcampos/DeathSleep:一种规避技术的 PoC 实现,用于终止当前线程并在恢复执行之前将其恢复,同时在不执行期间实现页面保护更改。
billythegoat356/Jawbreaker:使用 HTTP 请求和 Hastebin 的 Python 混淆器。
ORCx41/EtwSessionHijacking:关于阻止 Procmon 监控网络事件的 Poc
CopernicusPY/wget-root:这是一个 python 脚本,当设置了 SUID 位时会利用 wget,并覆盖 root 密码。
APIHashReplace:api hash替换
OccamsXor/sim-ba: (Sim)ulate (Ba)zar Loader
Idov31/Cronos:一种新的睡眠混淆技术的 PoC,它利用可等待的计时器来逃避内存扫描器。
/monomorph: 所有有效载荷都具有相同的 MD5 哈希
JLospinoso/gargoyle:一种内存扫描规避技术
NoRunPI: 不运行payload运行payload
WMEye: WMEye 后期利用
AmsiScanner:用于与反恶意软件扫描接口 API 交互以进行渗透测试的工具。
pycrypt: 基于python的加密绕过
SLib: 一个沙箱规避库
XaFF-XaFF/Cronos-Rootkit: Cronos is Windows 10/11 x64 ring 0 rootkit. Cronos is able to hide processes, protect and elevate them with token manipulation.
FortyNorthSecurity/C2concealer:C2concealer 是一个命令行工具,可生成随机的 C2 可延展配置文件以用于 Cobalt Strike。
TheNewAttacker64/Theattacker-Crypter:使用不同技术逃避杀毒软件的工具
BlackLotus:BlackLotus UEFI Windows Bootkit
Amsi_Bypass_In_2023:适用于 Windwos 11 的 Amsi Bypass 有效负载
ASProtect 32 – 具有保护功能的 32 位软件加壳器
Reg-Restore-Persistence-Mole: 得持久性并规避 sysmon 事件代码注册表(创建、更新和删除) REG_NOTIFY_CLASS sysmon 驱动程序过滤器的注册表回调。RegSaveKeyExW() 和 RegRestoreKeyW() API 不包含在监控中