工具介绍：https://blog.csdn.net/u013797594/article/details/130502682

适用于红队的免杀工具。

1.本工具仅限于学习和技术研究，不可用于任何非法用途。

建议修改CS默认特征增强免杀效果，下面的测试使用了malleable-c2项目中的CS配置文件来修改默认的CS特征。

1.使用进程镂空（傀儡进程）winlogon.exe，Defender仅提示病毒威胁选择重启，但不会主动杀掉镂空的winlogon.exe，实现稳定上线。

2.360鲲鹏引擎下无感知上线稳定运行

3.VT查杀率1/69

1.工具使用了python3.7.9 开发，安装相关依赖包：

pip3 install -r requirements.txt
python3 StormBypassAV.py

2.支持普通和隐匿2种模式:

3.普通模式下使用了几种不同的内存申请/写入内存方式，通过将shellcode和shellcode加载器代码都进行加密实现了不错的免杀效果，并添加一些随机位移使得最终的木马比较难找到静态特征。

4.隐匿模式下实现了进程注入和进程镂空（傀儡进程）

• 进程注入将shellcode注入到指定进程中运行，木马程序本身被杀毒软件检测到后会被删除。

• 进程镂空通过运行指定程序并挂起，然后将已有的exe木马写入目标进程中运行，杀毒软件检测到的恶意进程是我们运行的目标程序。defender基于行为的监测技术能够发现被镂空的程序在执行恶意指令，因此会主动终止目标程序，但如果是winlogon.exe，它只会提示重启。

5.实现了本地和网络分离免杀，由于shellcode每次生成的不一样，所以配置菜单中增加了SSH服务器，配置后可以自动将新生产的payload同步到web服务器上

6.已知bug：

1.因为使用了动态导入，所以shellcode.py文件名中不能有多余的点号.

发现部分杀软已经能查杀，更新一波。

360鲲鹏，无感知上线和执行普通命令，新增用户等高危命令会告警，需要结合其它技术绕过。

360核晶物理机上测试：

和火绒差不多的效果，可以稳定上线执行普通命令，执行添加用户等会被告警。

defender：

使用进程镂空winlogon.exe，结合malleable-c2项目修改CS默认特征，可以无感知上线，执行shell命令会被defender告警病毒，但不主动查杀，只提示重启：

火绒：

发现火绒把变量名当成静态特征查杀。。。增加了一些随机特性绕过火绒的静态特征查杀，火绒已经会对进程镂空winlogon.exe进行查杀，但镂空其他进程不会查杀，遇到火绒可以直接使用普通模式的那几个shellcode加载器。

更新后无感知上线和执行命令，不过新增用户等高危操作依然不可用，需要结合其它技术。

VT：

VT上有些厂家已经把pyinstaller打包的程序都当成病毒了，所以很难做到更低的免杀率：