7BitsTeam / EDR-Bypass-demo

Some demos to bypass EDRs or AVs by 78itsT3@m

EDR-Bypass-demo

Some demos to bypass EDRs or AVs by 78itsT3@m

本文为7bits系列文章《红队队开发基础-基础免杀》的示例代码

欢迎关注我们的公众号 - Zbits2022

demo 1-3 为《红队队开发基础-基础免杀（一）》的内容

demo1：

c++代码，使用disableETW，shellcode加密，隐藏导入表的免杀方式对shellcode进行免杀
demo2:

c#代码，使用字符串加密、异或加密、沙箱绕过方式进行bypass AV。
demo3:

c#代码，优化demo2的shellcode加载方式，修改SharpInjector，使用EtwpCreateEtwThread加载shellcode。

demo 4-5 为《红队队开发基础-基础免杀（二）》的内容

demo4：

c++代码，最简单的syscall例子
demo5:

c++代码，使用SysWhispers3的jump方法，绕过对syscall的静态检查

demo 6 为《红队开发基础-基础免杀（三）》的内容

demo6:

c++代码，修改RefleXXion使其对user32.dll进行unhook。

chapter4 demo1-4为《红队开发基础-基础免杀（四）》的内容

下面的例子均是忽略流量特征的情况：

demo1：base64+xor混淆shellcode，过360，火绒。

demo2：加强了静态混淆，过definder，麦咖啡。

demo3：加入syscall及apc调用方式，过卡巴斯基edr

demo4：加入beacon的内存加密，过eset edr

About

Some demos to bypass EDRs or AVs by 78itsT3@m

Languages

Language:C 38.9%Language:C++ 32.2%Language:C# 20.8%Language:Assembly 8.0%Language:Python 0.1%