在制作捆版马儿时,许多人会遇到一个常见的问题,即捆绑软件本身会被杀毒软件检测到,即使捆绑的是两个正常软件也难逃查杀。今天,我将分享一种利用winrar实现免杀的捆绑技术。这种方法在搭配免杀马儿时效果尤佳。
请注意,以下方法仅供参考,适用于已授权的渗透测试、红队评估和攻防演练,请勿用于其他非法途径。
1、首先,使用CobaltStrike生成一个名为“qq.exe”的马儿,并准备一个Flash的安装程序。
2、右键点击文件,选择“添加到压缩文件”。在弹出的窗口中,选择“创建自解压格式压缩文件”,这样RAR文件就会变成EXE后缀的文件。
3、点击“高级自解压选项”,选择“常规”选项卡。
解压路径选择“绝对路径”,设置为:
C:windowstemp。
4、在“设置”选项卡中,选择“提取后运行”,并设置以下路径:
C:windowstempqq.exe
C:windowstempflashplayer_install_cn.exe
5、在“模式”选项卡中,选择“安静模式”并设置为“全部隐藏”。
6、在“更新”选项卡中,选择“更新方式”为“解压并更新文件”,并将“覆盖方式”设置为“覆盖所有文件”。
7、点击“确定”按钮,再次点击“确定”按钮,生成名为“新建文件夹.exe”的文件。
8、将文件名修改为“flashplayer_install_cn.exe”。此时文件已经可以使用,但外观不够美观。接下来,我们将使用“ResourceHacker”这个工具。
通过ResourceHacker打开原始的Flash安装程序,点击“Icon Group”文件夹中的文件,右键保存“*.ico资源”,即可导出图标文件。
9、使用相同的方法打开制作好的钓鱼马儿,找到“Icon Group”,右键选择“替换图标”,选择刚才导出的“flash.ico”,确认后点击左上角的“文件”->“保存”。
这样,一个完美的捆绑马儿就制作完成了。等到鱼儿上钩即可。以下是运行截图,伪装得非常完美,全程无感知,大家可以尝试一下。
作者:梦屿千寻个人博客(文章转载请注明来自:IT同路人论坛)
以上就是利用winrar自解压捆版payload制作免杀的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/94052.html
微信扫一扫 
支付宝扫一扫 
