长亭百川云 - 文章详情

技术分享 | 一款开源持续更新的后渗透免杀框架

suntiger

225

2024-08-08

part1

点击上方蓝字关注我们

1.摘要

RingQ是一款后渗透免杀工具, 采用C++编写, 可实现对各类AV/EDR的快速免杀, 支持bypass AV/EDR、360、火绒、Windows Defender等主流防御产品。该免杀框架可通过简单修改源码、加载方式、加密混淆和执行逻辑等多维度来实现快速免杀, 并支持持续更新。

开源地址:

https://github.com/T4y1oR/RingQ

2.使用方法

第一步: 将自己的免杀exe工具, 放在与Create.exe同文件夹下运行即可, 会生成一个混淆的main.txt文件。

注意: Create.exe程序仅用于混淆生成main.txt文件, 可能存在报毒警告, 直接添加白名单或虚拟机断网使用即可。

命令举例:

Create.exe fscan.exe  
Create.exe CobaltStrike.bin

第二步:

将main.txt和RingQ.exe上传到目标机器, 执行RingQ.exe

因内置反沙箱, 执行后有些许延迟,需要耐心等待一会儿。

RingQ.exe

3.查杀测试

举例,实现本地加载mimikatz.exe过程,如图:

实现远程加载mimikatz.exe过程,如图:

实现绝对路径加载mimikatz.exe过程,如图:

CS Shellcode加载:

微步云沙箱检测:

360检测(2024.08.02更新):

Windows Defender(2024.08.02更新)

火绒6.0(2024.08.02更新):

4.exe转shellcode工具

EXE2Shellcode.exe程序可以将你需要免杀的exe工具转换成Shellcode,和Create.exe fscan.exe作用相同。

区别在于Create.exe内置XOR混淆,可以直接配合RingQ.exe程序直接使用。

EXE2Shellcode.exe生成后的Shellcode需要自行混淆+修改RingQ源码加载使用, 如图:

更新日志:

END

发现**“分享”“赞”**了吗,戳我看看吧

点个在看你最好看

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2