免杀对抗

数据包 针对数据包，无论是点测试还是添加成功后进入，都会有共计三个数据包发送 咱们以最简单的一句话木马为例 第一个 POST请求中存在pass和key两个

既然在对C2的免杀思路及操作上都有了一定认知，那么咱们的Webshell怎么能落下呢？ 学习项目地址：https://github.com/AabyssZ

深思 我经常会问自己一个问题，我用cs生成的shellcode，就算我能写点加载器把他构造成免杀的，那他的本质还是那一串十六进制，如果不能绕过这方面，那我

事件起因是某天某人意外地发来了一条消息 鼠鼠我呀，刚开始以为是word宏导致上线的cs，但是后面仔细看了一下发现不对 刚解压，映入眼帘的链接一眼就知道不对

一直想自己不借助网上博客内容，通过自己思路来做一个免杀的脚本，但是都因为某些原因搁置了。反正这些天每日每夜的渗透测试，说的好听，说的不好听就是功能点测试，

因为内容涉及到汇编的知识，这几天正在学，还有实验中涉及到的部分工具，也基本在网上搜罗到了，所以断更了许久 此内容基于对cs生成的exe进行免杀 实验环境

本次实验用到的CobaltStrike为4.5版本 前情提要 上期我们介绍到，将免杀的ps1直接替换掉CobaltStrike中自带的ps1模板，但这仅适

本实验使用到的CobaltStrike为4.5版本 前情提要 在使用CobaltStrike生成Payload环节会新建一个监听器，监听器的选择方式其实是

免杀非一蹴而就 此内容基于对cs生成的Powershell Payload进行免杀。cs版本为4.5 注：以下内容除http请求分离以外在本主机均被秒杀

免杀需积累，并不是修改一个特征值就可以实现。 观察特征 CobaltStrike中存在端口号，心跳值等特征，今天我们对他的请求值做特征消除。这里用cs4.