测试环境
- 联网的Win10 ,开启了Defender
- 最新的火绒和360杀毒
Defender肯定要取消上传可疑文件的!
测试步骤
这里使用CS生成python类型的木马文件,并对生成的shellcode
进行Base64编码和HEX编码,将编码后的shellcode分成几个文件存放,再去请求下载并解码,最后将解码后的shellcode
加载到内存中。
编译成EXE,顺便使用upx压缩下:
开启Defender的Win10去下载木马,再去扫描下,可以看到静态查杀是过了:
运行木马文件:
再看CS这边,Win10已经上线:
执行下命令,defender完全不阻拦,动态查杀也过了:
在执行下systeminfo:
微步检测
威胁评分为0,不过被奥地利的这款杀软检测到了。
另外,以后不会再把木马样本上传到云沙箱检测了,因为云沙箱多数时候会把样本发送给厂商,这个就有点蛋疼。
评价
可过Defender基本上能秒杀 某绒和某零,但是python打包成exe还是有点大,体积上不如其他类型的木马小巧