shellcode免杀工具Go_Bypass的使用

最新推荐文章于 2024-10-16 16:58:12 发布
最新推荐文章于 2024-10-16 16:58:12 发布
阅读量2.3w 收藏 32
点赞数 1
分类专栏: 安全实验 文章标签: Go免杀 shellcode免杀 BypassAV 免杀工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/123179230
版权

简介

该工具是由Arks7使用Go语言开发的一个免杀生成器模板,目前可以过国内主流杀毒。
GitHub地址:
https://github.com/Arks7/Go_Bypass

用法

使用CobaltStrike生成payload,输出格式为Raw,4.3版本需要勾选X64,如图:

将生成的文件放在Go_Bypass项目目录下,然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理,否则编译报错。然后运行go run main.go,使用默认配置一路回车即可,这里自己指定了密码,没使用默认密码,如图:

在bin目录下生产木马,使用火绒扫描未发现问题,如图:

运行之后火绒未拦截,成功上线,如图:

使用Defender扫描未发现问题,如图:

使用卡巴斯基免费版扫描未发现问题,如图:

使用360全家桶扫描未发现问题,如图:

由于作者增加了反沙箱功能,因此在把虚拟机内存设置为8G,CPU设置为4核时,运行之后成功上线,如图:

但是由于beacon自动进行权限维持导致添加计划任务操作被360、Defender、卡巴斯基进行了拦截,除了火绒,如图:



VirusTotal检出率为11/69,如图:

微步云沙箱检出率为2/25,如图:

改进

参考Cobalt Strike修改特征修改证书后,运行一段时间被发现,如图:

可以绕过360、Defender、火绒,但是好像无法绕过天擎,如图:

江左盟宗主
关注
专栏目录
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1544
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
Rust免杀 w Shellcode加载与混淆
S18374的博客
10-25 170
Rust的编译体积是非常小的,虽然比不上C/C++,但是和Python和Go相比优势还是非常大的,并且Rust的热门程度也远小于Python和Go,所以杀软对Rust的检出程度也是非常低的,这都是Rust免杀的天然优势。结合本文章几种基础的加载方式和混淆方式还是可以轻松过一部分杀软的。以下链接是我半年前上传到virustotal的一个样本,半年过去了,目前的检出率为14/71:VirusTotal File(刚上传时检出率为0/71)。
工具使用免杀工具xlbpc、FoxBypass使用教程
最新发布
Lisoning的博客
10-16 494
简单分享两款免杀工具,亲测是十分好使的,一款是星落安全团队开发的xlbpc,一款为FOx狐狸说安全开发的FoxBypass。那就先简单谈谈什么是免杀免杀技术全称为反杀毒技术Bypass Antivirus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀!
shellcode转换工具
07-26
shellcode转换工具
免杀对抗—GO&C#&反VT沙盒&资源分离&混淆加密
2301_76227305的博客
10-03 1172
今天主要讲了两个语言,Go和C#。免杀思路和之前讲的python和C差不多,主要是多了个反沙盒VT的内容,主要是给它加个壳,但开源的工具难免会被杀的。还有一些工具不支持对某些语言编译成的exe去加壳,这时候就得自己写个壳了。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
免杀工具 -- FourEye
weixin_41489908的博客
01-12 7067
今天有一点想你,其实,不止一点,其实,不止今天。。。 ​----网易云热评 一、简介 快速生成免杀exe可执行文件,目前拥有三种免杀的方法 二、下载及安装 1、下载到本地 git clonehttps://github.com/lengjibo/FourEye.git 2、进入该文件夹 cd FourEye 3、安装需要的python库 pip install -r requirements.txt 三、使用方法 1、打开该软件 python3 Byp...
揭开Shellcode的神秘面纱
04-30 628
对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。Shellcode就好象神秘的武器,安全防护变得如此不堪一击。Shellcode究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的Shellcode,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“
Shellcode调试分析工具
信息安全
02-28 1040
文章目录前言代码使用方法 前言 在恶意软件分析的过程中,很多时候都会遇见shellcode,单独dump出来的shellcode在IDA中很难进行静态分析,但是由于Windows加载程序无法执行独立的shellcode,所以我们需要用工具来加载shellcode进行动态调试。 虽然已经有很好用的工具BlobRunner,但我仍然准备自己写一个去更好的学习理解 代码 #include <win...
shellcode免杀之VirtualAlloc函数加载shellcode过杀软
orange777
02-27 1051
go语言木马免杀
红队培训班作业 | 五种免杀bypass火绒360姿势横向测评:哪款更适合你?
Ms08067安全实验室
09-01 1519
文章来源|MS08067 红队培训班第12节课作业本文作者:某学员A(红队培训班1期学员)按老师要求尝试完成布置的作业如下:一、远程线程注入(一)通过MSF生成payload通过msfve...
Rust免杀 Shellcode加载与混淆
stopluox的博客
09-19 233
下面是实现AES-CFB加解密的代码,在加密的函数中最终返回的是Hex编码后的字符串,而解密函数最终返回的是Vec数组,同样是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode。下面是实现RC4加解密的代码,在加密的函数中最终返回的是Base64编码后的字符串,而解密函数最终返回的是Vec数组,这是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode
免杀工具免杀工具免杀工具免杀工具
05-24
免杀工具免杀工具免杀工具免杀工具免杀工具免杀工具
shellcode转unicode工具
06-13
这是一款超级便宜的shellcode转unicode工具,非常好用!
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
免杀工具
02-21
免杀工具
免杀工具免杀必备
05-10
免杀不错的工具哦 在这里先上传一个 还有的会再传的
免杀〗.net程序一键免杀Win10 20H2 Defender
K8哥哥
12-18 1756
WIN10更新至最新版20H2发现,查杀能力比以前强了不少,特别是针对CS加载.NET程序集或NIM加载.NET的查杀,毕竟你要调用的函数微软很了解,它想拦截想杀还是比较容易的。但是不知道大家有没听说过一个故事“微软的编程工具的开发工程师,编写程序时,也需要查阅文档”,说明什么?微软系统的API很多,是微软写的没错,但又不是一个人自己写的,就算是一个人自己写的,功能那么多,他也根本记不起,用到自己的东西也要查阅文档,就像我用Ladon有时也要查阅文档,这很正常,因为我写过的工具或功能太多,有些久不用,甚至都
ShellCode提取工具(转)
weixin_30399055的博客
01-10 254
看来我是这里除了admin外第一个原创呢~~~ 感觉幻影是个很有前途的~~~~RootKit还是木马~~~~混淆了呵呵…… 本来想加入这个团队的,一看要求就有点~~~偶就是米有这么系统的东西~~~喜欢什么就写什么~~呵呵。。。 不过还是没事放点东西上来滴~~~ OK切入主题~ 其实很多前辈已经做了这个工具,而且做得很好。 但是,要自己用自己的工具才比较爽。所以成没事的时候写了这个小...
Delphi是最适合编写ShellCode工具
wr960204(武稀松)的专栏
08-17 4684
本文是写给经常写ShellCode或者给PE文件添加代码的人的. 题目这样写有点不精确.不过Borland的编译器确实是算得上最适合编写ShellCode工具.编写ShellCode的朋友们知道.字符串常量应该是处理起来非常麻烦.例如:调用GetProcAddress函数吧.参数有一个是字符串.很多编译器字符串常量是在数据段中.只读的属性.那么编写ShellCode的时候G
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被杀毒软件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值