1.往期回顾
红队蓝军免杀班目前已经做到第三期,往期内容结合大家实际工作中会遇到的问题,针对性讲解遇到杀毒软件时的痛点,难点,往期内容深受大家喜爱。学员中有已经工作的兄弟想提升自己的技能,也有还没毕业的同学想未来就职红队等要求更高的技术岗位,甚至有凭着一腔热血,就要跟杀毒软件干个不死不休的大哥。。。
在课程中,各种骚操作不断亮相,甚至一度出现了杀软帮我们打工的情况,场面异常和谐:
卡巴斯基:
360:
2.课程大纲/目录
| 环境搭建 | 免杀概述 vs环境搭建 分析工具安装 |
| 基础知识 | 汇编基础 堆栈 c语言基础编程 编写exe/dll 导入表 IAT表 导出表 重定位表 windows api shellcode原理,与位置无关(PIC) |
| win32编程 | dll注入 突破session0进行注入 Apc注入 shellcode注入 uac白名单挖掘 傀儡进程 dll劫持挖掘 windows权限维持 |
| hook | Inline hook IAT hook EAT hook SSDT hook hook攻防 |
cobalt strike免杀要点 | cs模块详解 stage&stageless C2profile execute-assembly bof UDRL Blockdll 一些简单的二开 |
bypass hook | 直接patch硬编码 syscall Hells Gate Halo Gate syscall的检测与绕过 |
bypass etw | patch 检测与绕过 |
bypasa amsi | patch 硬件断点patchless 检测与绕过 |
anti-sandbox | 抗沙箱手法 抗分析(调试) |
shellcode loader编写 | shellcode加密混淆(xor,rc4,aes..) shellcode分离 shellcode api替换 x64下完全隐藏导入表 |
对exe的处理 | 降低熵 添加文件属性 自签名 |
| windows机制 | 回调函数机制 APC机制 VEH机制 线程机制 LSA机制 PPL保护 |
【360全家桶+核晶】专题 | 360特性讲解 静态绕过(上线) webshell执行被核晶拦截的绕过 低权限下核晶的处理 绕过核晶进行远程线程注入 绕过核晶添加计划任务 绕过核晶添加用户 强杀360全家桶(开启核晶) |
【windows defender】专题 | defender特性讲解 静态绕过(上线) 绕过defender进行注入 强关defender 利用 defender排除项 各种行为绕过 |
【卡巴斯基】专题 | 卡巴斯基特性讲解 静态绕过(上线) 绕过卡巴斯基内存扫描上线 动态绕过卡巴斯基各种行为拦截 强杀卡巴斯基 |
3.课程优势
围绕实战中真实存在的问题进行讲解,从web端的拦截绕过,到内网横向中AV/EDR的拦截,从静态免杀上线,到各种行为拦截上的绕过、后渗透工具的免杀。
绝大多数环境使用物理机安装杀软,100%环境开启联网,查杀引擎全开,最大程度模拟真实拦截环境。
助力hvv中最常见的某数字杀软,本期讲重点讲述360+核晶下的各种绕过手法,真实还原在实战工作中遇到的痛点,比如php/jsp/asp环境下核晶对webshell进程链的拦截,核晶下对注入的拦截,对添加用户的拦截,对添加自启动的拦截。以webshell端/c2端的视角操控远端主机,并不是以上帝模式跑到对方主机上双击,更贴合实战情况!
本次免杀课程联合内网课程将定制个性化靶场,以实际环境出发,模拟最真实的实战环境。
课程涵盖基础内容,从0基础开始学习课程内容,不存在学不懂的情况。
免杀从来都是一个不断与时俱进的过程。我们承诺:一次付费终生学习,后续开设的所有免杀课程可无限跟听。
4.适合人群
想提升自己能力的安服/普通渗透测试人员。
未来想从事后渗透红队工作,想提升自己免杀技能的学生。
对绕过杀软非常感兴趣,想了解杀软机制的任何非黑灰产人员。
公安技术人员。
免杀技术的兴趣爱好者。
5.课程价格/优惠
费用:5000
学生/退伍军人,凭证件打9折
3人及3人以上组团学习,每人立减500元
可分期,可开发票
以上buf可以叠加
6.上课时间/方式/时长
本次课程继续采用线上上课,每周1,3,5,6晚上8点上课,每节课时长在1-2h,整个周期时长2-3个月,每节课都会有相应的录屏,当天有事的同学可以课后自行观看录屏。
想来线下学习的同学可直接私聊priv
7.报名方式
课程详细咨询微信号:WhoamiPriv
如有侵权请联系:admin#unsafe.sh