inceptor 安装与使用
https://github.com/klezVirus/inceptor/
安装:
本机环境:Windows + VS2022 + LLVM
virtualenv 的两步是创建干净的python环境 如果不需要可以跳过
[AppleScript] 纯文本查看 复制代码 gitclone --recursive [url]https://github.com/klezVirus/inceptor.git[/url]
cd inceptor
virtualenv venv
venv \Scripts\activate.bat
pip install -r requirements.txt
cd inceptor
python update- config.py
最后根据选项选择即可。如果没有的工具它会帮你下。有VS直接大部分工具都是有的。
踩坑:
[AppleScript] 纯文本查看 复制代码 No module named 'obfuscators.powershell.chameleon.chameleon'
这个报错是因为没下到chameleon
手动下载 https://github.com/klezVirus/cha ... c427962a2b654a5a9d2
将内容放到chameleon文件夹下即可
使用指南
[AppleScript] 纯文本查看 复制代码 $ usage: inceptor.py [-h] [-hh] [-Z] {native,dotnet,powershell} ...
inceptor: A Windows-based PE Packing framework designed to help
Red Team Operators to bypass common AV and EDR solutions
positional arguments:
{native,dotnet,powershell}
native Native Binaries Generator
dotnet .NET Binaries Generator
powershell PowerShell Wrapper Scripts Generator
optional arguments:
-h, --help show this help message and exit
-hh Show functional table
-Z, --check Check file against ThreatCheck
给出一个使用loader的例子:
[AppleScript] 纯文本查看 复制代码 python inceptor.py native -tloader -C cl -o ceshi14.exe -munhook --sgn --clone "C:\Users\Administrator\AppData\Local\Kingsoft\WPSOffice\11.1.0.12313\office6\wps.exe" --delay 3 beacon.raw
这里参数的参数:加载unhook模板,使用sgn 混淆shellcode,克隆metadata、延时、cs的beacon.raw 生成加载器。
22.10.1 过360(真机)、df
注意:
使用syscall的时候因为作者只写了注入模板,所以必须使用-P -P0 explorer 进行注入。(不免杀,免杀的模板得自己写)
总结:
公开项目的免杀总会被查杀,并且免杀是一个多维度、多方面、大量技术的结合,这个项目的亮点是提供一种模板组合的方式去进行免杀,可以参考这种思路写出自己的免杀框架,然后对于新技术就添加到自己框架之中,以一贯之,提供便利。
| 
发表于 2022-10-26 16:21:17
发表于 2022-10-29 11:30:16
