|
|
本帖最后由 jiangmingzi 于 2023-10-9 02:55 编辑
Pizz33&S9MF Hack分享吧 2023-10-07 08:30 发表于韩国
项目介绍
在攻防演练过程中常需要木马钓鱼,但钓鱼马易被提取hash进而失效,本脚本旨在减少重复性工作,批量生成钓鱼马。
360会对不携带资源的可疑程序进行拦截,标签为HEUR/QVM202.0.29xx.Malware.Gen
直接提取图标添加至exe一样会进行拦截
360QVM各种免杀方法:
以下免杀方法来源于网络,文章有点老,仅提供参考。
https://blog.csdn.net/jackey3Lin/article/details/49022045
- HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
- HEUR/Malware.QVM07.Gen 一般情况下换资源
- HEUR/Malware.QVM13.Gen 加壳了
- HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
- HEUR/Malware.QVM20.Gen 改变了入口点
- HEUR/Malware.QVM27.Gen 输入表
- HEUR/Malware.QVM18.Gen 加花
- HEUR/Malware.QVM05.Gen 加资源,改入口点
- QVM07加资源一般加到2M会报QVM06
- 再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
- QVM06 加数字签名
- QVM12杀壳
- QVM13杀壳
- QVM27杀输入表
- QVM19 加aspack
- QVM20就加大体积/加aspack压缩
工具使用
运行脚本,input_file填入木马文件,ico_file填入图标文件,number为生成的木马数量。
- python icon-exe.py -i input_file -f ico_file -n number
脚本通过生成不同hash的ico并写入程序中,实现批量bypass360QVM,生成文件在output文件夹内。
实现效果 (ResourceHacker.exe来源于互联网,不放心可自行替换)
工具修改版
在原项目360QVM_bypass的基础上,进行修改增加如下功能:
工具使用:
- python3 icon-exe.py -i test.exe -f idea2000.ico -n 2 -s goland64.exe
python3 icon-exe.py -h
- Author:pant0m & Hyyrent 修改版 v 1.3
- usage: icon-exe.py [-h] -f INPUT_ICON_FILE [-n NUM_ICONS] [-maxc MAX_COLOR_CHANGE] -i INPUTFILE -s SIGTHIEF
- 默认会生成带签名和不带签名的文件。
- optional arguments:
- -h, --help show this help message and exit
- -f INPUT_ICON_FILE, --file INPUT_ICON_FILE
- 输入ICO文件。
- -n NUM_ICONS, --number NUM_ICONS
- 要生成的图标数量。
- -maxc MAX_COLOR_CHANGE, --maxcolorchange MAX_COLOR_CHANGE
- 最大颜色变化范围。
- -i INPUTFILE, --inputfile INPUTFILE
- 输入目标PE文件。
- -s SIGTHIEF, --sigthief SIGTHIEF
- 输入要伪造签名exe路径。(必填)
下载地址
360QVM_bypass:https://github.com/Pizz33/360QVM_bypass
360QVM_bypass修改版:https://github.com/S9MF/my_scrip ... 60QVM_bypass-public
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2023-10-9 02:55:02