Windows Defender Bypass

发表于

Windows Defender Bypass

Server

特殊目录Bypass

参考https://ryze-t.com/2021/06/06/%E5%AE%98%E6%96%B9%E6%8F%90%E4%BE%9B%E7%9A%84-Windows-defender-bypass/

PC

参考 https://github.com/plackyhacker/Shellcode-Encryptor的思路。

代码均以上传至github:https://github.com/Ryze-T/Bypass_WindowsDefender

分为两个步骤:shellcode加密和加载器执行。

shellcode 加密

流程如下:

image-20220616173139230

通过脚本得到执行结果:

image-20220616162742100

加载器执行

分配完可读可写可执行内存后,利用C#的委托特性执行。

流程如下:

image-20220616174029183

复制 Key 和 Encrypted shellcode 到准备好的进程注入C#代码中,生成exe即可。

image-20220616180511383

效果

image-20220616174505066

image-20220616174411311

image-20220616174605040

image-20220616174834832