part1
点击上方蓝字关注我们
1.摘要
RingQ是一款后渗透免杀工具, 采用C++编写, 可实现对各类AV/EDR的快速免杀, 支持bypass AV/EDR、360、火绒、Windows Defender等主流防御产品。该免杀框架可通过简单修改源码、加载方式、加密混淆和执行逻辑等多维度来实现快速免杀, 并支持持续更新。
开源地址:
https://github.com/T4y1oR/RingQ
2.使用方法
第一步: 将自己的免杀exe工具, 放在与Create.exe同文件夹下运行即可, 会生成一个混淆的main.txt文件。
注意: Create.exe程序仅用于混淆生成main.txt文件, 可能存在报毒警告, 直接添加白名单或虚拟机断网使用即可。
命令举例:
Create.exe fscan.exe
Create.exe CobaltStrike.bin
第二步:
将main.txt和RingQ.exe上传到目标机器, 执行RingQ.exe
因内置反沙箱, 执行后有些许延迟,需要耐心等待一会儿。
RingQ.exe
3.查杀测试
举例,实现本地加载mimikatz.exe过程,如图:
实现远程加载mimikatz.exe过程,如图:
实现绝对路径加载mimikatz.exe过程,如图:
CS Shellcode加载:
微步云沙箱检测:
360检测(2024.08.02更新):
Windows Defender(2024.08.02更新)
火绒6.0(2024.08.02更新):
4.exe转shellcode工具
EXE2Shellcode.exe程序可以将你需要免杀的exe工具转换成Shellcode,和Create.exe fscan.exe
作用相同。
区别在于Create.exe内置XOR混淆,可以直接配合RingQ.exe程序直接使用。
EXE2Shellcode.exe生成后的Shellcode需要自行混淆+修改RingQ源码加载使用, 如图:
更新日志:
END
发现**“分享”和“赞”**了吗,戳我看看吧
点个在看你最好看