*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。
0x01 前言
最近拿fscan进内网老是被杀,看样子需要更新一下fscan了
0x02 配置
这里主要用的是unix类系统进行代码混淆,需要下载go
go配置自行搜索
export PATH=$PATH:/usr/local/go/bin export GOPATH=$HOME/go export GOPROXY=http://mirrors.aliyun.com/goproxy/ go env -w GOPRIVATE="gitlab.intra.knownsec.com/*"
这里需要安装garble进行混淆
go install mvdan.cc/garble@latest
ls -lah ~/go/bin/ | grep garble
出现这个证明安装成功
export PATH=$PATH:/root/go/bin/
0x03 编译混淆
首先克隆源码
git clone https://github.com/shadow1ng/fscan.git
使用garble混淆
garble -literals build main.go
这个混淆偏移是我一般在使用的
GOOS=windows GOARCH=amd64 garble -literals -tiny -seed=random build -o appwudi.exe main.go
或者更好一些的
garble -tiny -literals -seed=random build -ldflags="-w -s -H windowsgui" -race wudiggnm.go
garble(混淆库): -tiny 删除额外信息 -literals 混淆文字 -seed=random base64编码的随机种子 go: -w 去掉调试信息,不能gdb调试了 -s 去掉符号表 -H windowsgui 隐藏执行窗口,不占用 cmd 终端。(被查杀率高) -race 使数据允许竞争检测,编译时改变了生成后的文件特征 ,使得杀软无法检测,当然有一天也会失效的。
编译后得到wudiggnm,exe
这里我选择得混淆偏移
upx压缩一下,顺便加个壳
upx app.exe
0x04 签名
一般程序被执行得时候,杀软都会检测是否存在数字签名,所以很有必要再加一层数字签名
方法一
我这里选择了一款一直在用的签名劫持软件
励志用qq走遍全世界!!!
方法二
可能不像前面那款工具那么高端,但之前那款工具存在无法数字签名成功签入的情况
这款我自己制作的小工具虽然说只能导入一款签名,但是在免杀检测的时候也够用了
0x05 去特征
Mangle_1.2_windows_amd64.exe -I music.exe -M -O music169.exe
0x06 检测
成功通过
原文链接 免杀对抗-fscan免杀
关注公众号
回复 数字签名小工具 获取工具