免杀对抗-fscan免杀

*声明：*请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。合法渗透，本文章内容纯属虚构，如遇巧合，纯属意外。

0x01 前言

最近拿fscan进内网老是被杀，看样子需要更新一下fscan了

0x02 配置

这里主要用的是unix类系统进行代码混淆，需要下载go

go配置自行搜索

export PATH=$PATH:/usr/local/go/bin
export GOPATH=$HOME/go
​
export GOPROXY=http://mirrors.aliyun.com/goproxy/
go env -w GOPRIVATE="gitlab.intra.knownsec.com/*"

这里需要安装garble进行混淆

go install mvdan.cc/garble@latest

ls -lah ~/go/bin/ | grep garble 

出现这个证明安装成功

export PATH=$PATH:/root/go/bin/

0x03 编译混淆

首先克隆源码

git clone https://github.com/shadow1ng/fscan.git

使用garble混淆

garble -literals build main.go

这个混淆偏移是我一般在使用的

GOOS=windows GOARCH=amd64 garble -literals -tiny -seed=random build -o appwudi.exe main.go

或者更好一些的

garble -tiny -literals -seed=random build -ldflags="-w -s -H windowsgui" -race wudiggnm.go

garble(混淆库)：
  -tiny              删除额外信息                    
  -literals          混淆文字
  -seed=random       base64编码的随机种子 
 go：
  -w                 去掉调试信息，不能gdb调试了
  -s                 去掉符号表
  -H windowsgui      隐藏执行窗口，不占用 cmd 终端。（被查杀率高）
  -race              使数据允许竞争检测，编译时改变了生成后的文件特征
  ，使得杀软无法检测，当然有一天也会失效的。

编译后得到wudiggnm,exe

这里我选择得混淆偏移

upx压缩一下，顺便加个壳

upx app.exe

0x04 签名

一般程序被执行得时候，杀软都会检测是否存在数字签名，所以很有必要再加一层数字签名

方法一

我这里选择了一款一直在用的签名劫持软件

励志用qq走遍全世界!!!

方法二

可能不像前面那款工具那么高端，但之前那款工具存在无法数字签名成功签入的情况

这款我自己制作的小工具虽然说只能导入一款签名，但是在免杀检测的时候也够用了

0x05 去特征

Mangle_1.2_windows_amd64.exe -I music.exe -M -O music169.exe

0x06 检测

成功通过

原文链接 免杀对抗-fscan免杀

关注公众号

回复 数字签名小工具 获取工具