0x01 简介

这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。

0x02 解读原项目

原项目–python加密部分
此项目加密shellcode采用的方式是base64 -> RC4加密 -> base64,加密完成后,将返回的shellcode追加到事先准备好的图片中。

原项目–Golang解密部分
解密部分主要是通过get请求获取图片内容,分割图片获取shellcode,再进行base64解密 -> RC4解密 -> base64解密。

0x03 修改项目

思路:
这里我们可以考虑修改原项目图床的加密方式,猜测各类杀软可能对这种shellcode的获取方式进行了特征提取,因此我们可以尝试通过以下几个方面进行修改。
1.将原项目图床shellcode加载改为本地加载。
2.用rc4对shellcode加密时,拼接一段垃圾数据,在golang解密时通过分割去除垃圾数据。

生成cobaltstrike C64位shellcode,将shellcode填到脚本中。
注释源项目图片追加shellcode的代码,直接将拼接脏数据的shellcode打印出来。

注释get请求相关的代码,直接将python加密生成的shellcode赋值给“raw”变量。以特定值分割脏数据,获取shellcode。

编译生成木马。
命令:go build -ldflags=“-H windowsgui” xxx.go(带上这些选项生成的木马不会弹出黑框。)

效果:

木马virustotal查杀对比:
VT的还是查出了9个,但基本都为国外杀软,应对国内杀软已经足够啦。

木马免杀实践-golang相关推荐

  1. 052 木马免杀全攻略

    木马免杀全攻略 转载自:a1pass.blog.163.com 2007-12-07 14:02:24| 分类: 思绪燃星火--技 | 标签:黑客 杂志刊物 作者:A1Pass 出处:http://a ...

  2. java 在已有的so基础上封装jni_webshell中的分离免杀实践java篇

    声明 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任. 雷神众测拥有对此文章的修改和解释权.如欲转载或传播此文章,必须保 ...

  3. 木马免杀原理及方法(超全)

    灰鸽子免杀 概况 免杀意为免除被杀毒 软件杀掉的软件. 灰鸽子免杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005.vip2006.免杀处理) 木马,本软件已经过 ...

  4. 0x06 木马免杀篇、0x07应急与响应、0x08 安全防御篇、0x09 其他问题篇

     来源如下图:(微信公众号:0x00实验室) 0x06 木马免杀篇         免杀可以先fuzz 定位出被查杀的语句,然后对被查杀那部分进行一波操作,像是加密啊.编 码啊.动态执行啊什么的,或者 ...

  5. PHP一句话木马免杀(通过VirusTotal测试)

    PHP一句话木马免杀 仅用于学习与交流,请勿用于非法用途!!! 简介与思路 免杀技术全称为反杀毒技术Anti Anti- Virus简称"免杀",它指的是一种能使病毒木马免于被杀毒 ...

  6. MSF编码+VS编译木马免杀

    MSF编码+VS编译木马免杀 msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e ...

  7. msfvenom——木马免杀篇

    msfvenom--木马免杀篇 目录 msfvenom--木马免杀篇 c语言执行 生成shellcode.c c语言执行 检查 python语言执行 方法一:python加载C代码 方法2:py2ex ...

  8. 黑客攻击-木马免杀之PE文件

    当你好不容易弄出来一个木马(具体可参考这里)的时候,却被杀毒软件轻易的就检测出来了,那一切岂不是白费了.Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么 ...

  9. 各类一句话木马免杀集合

    各类一句话木马免杀集合,基本过D盾与安全狗,php.asp.aspx.jsp一句话和冰蝎,我写的文章链接如下: https://www.cnblogs.com/joke-ljh/p/13794125. ...

  10. 木马免杀之汇编花指令技巧

    木马免杀之汇编花指令技巧 作者: 逆流风(发表于<黑客X档案>07.07,转载注明出处)        相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指 ...

最新文章

  1. oracle rman实时备份吗,ORACLE-RMAN自动备份和恢复
  2. Oracle数据库日常维护知识总结
  3. Windows 7无法使用Telnet命令
  4. 【android-cocos2d-X2.2 环境配置】在Mac下搭建Cocos2d-X-android开发环境!
  5. C 把两个bitmap文件合并成一个bitmap文件
  6. 018对象——对象 get_class get_declared_classes get_declared_interfaces
  7. iOS UITableView
  8. 大数据WEB阶段 Servlet配置优先级 , Spring容器设置对静态资源放行
  9. 最棒 Spring Boot 干货总结
  10. 给你一个能生成1到5随机数的函数,用它写一个函数生成1到7的随机数
  11. unix和linux的区别
  12. pku1157-------LITTLE SHOP OF FLOWERS(简单动态规划题:摆放鲜花使审美价值达到最高)...
  13. 【风电功率预测】基于matlab灰狼算法优化LSTM风电功率预测【含Matlab源码 1392期】
  14. 计算机管理无线网络 win10,如何在Windows 10中使用命令行管理WIFI无线网络
  15. 直接插入法排序(c++单链表的实现)
  16. 【测试开发】的Devops持续集成部署体系之Jenkins持续集成和持续部署基础应用
  17. python画图双纵轴多张图折线柱状图
  18. 实际场景中的多线程使用
  19. [XXII Open Cup, Grand Prix of Korea M]Yet Another Range Query Problem
  20. scratch编程石头剪刀布

热门文章

  1. 前端素材库网站集合——网站集合
  2. 简单的http客户端
  3. html如何在手机打开,HTML怎么在手机打开
  4. 面试官到底想看什么样的简历?
  5. 【阅读笔记】《创京东:刘强东亲述创业之路》
  6. 招聘笔试行测题之图形推理题解题思路汇总
  7. 电机编码器调零步骤_伺服电机编码器调零
  8. 用国产编程语言CBrother做微信公众号后台开发太简单
  9. 恩智浦半导体推出近距离非接触式读卡器IC CLRC663
  10. PyQt+PyQtWebEngine+Spyder问题小结