前段时间有个朋友给我发过来一个loader,里面是通过挂钩Sleep函数来过某绒的内存查杀的。我只想说你用大炮打蚊子....何必呢?
这里我简单的写了一个Loader,具体实现这里就不说了。
这里只提供EXE。
需要注意的是大家要配合CobaltStrike的Profile文件来实现。
这里我使用的是CobaltStrike 4.5 完全没有二开的版本。
关于Profile文件的话,这里就不提供了,大家自由发挥吧。大概其实改的地方就是sleep_mask跟改为false,jitter抖动时间更改为37-40之间,需要注意的是tcp_port通信端口和你启动teamserver文件中的端口要对应,allocator更改为HeapAlloc。
这里只提供Loader。
某绒6.0大家都知道加了内存查杀了,但是默认只是仅记录的。这里我将其更改为自动处理。
加载器使用方式如下:
首先需要使用sgn对其shellcode进行混淆就可以了。
这里尽量去下载2.0版本的。
https://github.com/EgeBalci/sgn/releases./sgn -a 64 -c 3 -o 生成的文件.bin 原始的shellcode.bin生成之后就可以用加载器加载了。
RelaysecLoader.exe shellcode.bin成功上线。
尝试执行命令。
项目我已经传到github上了。
https://github.com/nanchen737491213/RelaysecLoader关注公众号回复免杀获取解压密码。
