木马免杀实践-golang
0x01 简介
这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。
0x02 解读原项目
原项目–python加密部分
此项目加密shellcode采用的方式是base64 -> RC4加密 -> base64,加密完成后,将返回的shellcode追加到事先准备好的图片中。
原项目–Golang解密部分
解密部分主要是通过get请求获取图片内容,分割图片获取shellcode,再进行base64解密 -> RC4解密 -> base64解密。
0x03 修改项目
思路:
这里我们可以考虑修改原项目图床的加密方式,猜测各类杀软可能对这种shellcode的获取方式进行了特征提取,因此我们可以尝试通过以下几个方面进行修改。
1.将原项目图床shellcode加载改为本地加载。
2.用rc4对shellcode加密时,拼接一段垃圾数据,在golang解密时通过分割去除垃圾数据。
生成cobaltstrike C64位shellcode,将shellcode填到脚本中。
注释源项目图片追加shellcode的代码,直接将拼接脏数据的shellcode打印出来。
注释get请求相关的代码,直接将python加密生成的shellcode赋值给“raw”变量。以特定值分割脏数据,获取shellcode。
编译生成木马。
命令:go build -ldflags=“-H windowsgui” xxx.go(带上这些选项生成的木马不会弹出黑框。)
效果:
木马virustotal查杀对比:
VT的还是查出了9个,但基本都为国外杀软,应对国内杀软已经足够啦。
木马免杀实践-golang相关推荐
- 052 木马免杀全攻略
木马免杀全攻略 转载自:a1pass.blog.163.com 2007-12-07 14:02:24| 分类: 思绪燃星火--技 | 标签:黑客 杂志刊物 作者:A1Pass 出处:http://a ...
- java 在已有的so基础上封装jni_webshell中的分离免杀实践java篇
声明 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任. 雷神众测拥有对此文章的修改和解释权.如欲转载或传播此文章,必须保 ...
- 木马免杀原理及方法(超全)
灰鸽子免杀 概况 免杀意为免除被杀毒 软件杀掉的软件. 灰鸽子免杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005.vip2006.免杀处理) 木马,本软件已经过 ...
- 0x06 木马免杀篇、0x07应急与响应、0x08 安全防御篇、0x09 其他问题篇
来源如下图:(微信公众号:0x00实验室) 0x06 木马免杀篇 免杀可以先fuzz 定位出被查杀的语句,然后对被查杀那部分进行一波操作,像是加密啊.编 码啊.动态执行啊什么的,或者 ...
- PHP一句话木马免杀(通过VirusTotal测试)
PHP一句话木马免杀 仅用于学习与交流,请勿用于非法用途!!! 简介与思路 免杀技术全称为反杀毒技术Anti Anti- Virus简称"免杀",它指的是一种能使病毒木马免于被杀毒 ...
- MSF编码+VS编译木马免杀
MSF编码+VS编译木马免杀 msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e ...
- msfvenom——木马免杀篇
msfvenom--木马免杀篇 目录 msfvenom--木马免杀篇 c语言执行 生成shellcode.c c语言执行 检查 python语言执行 方法一:python加载C代码 方法2:py2ex ...
- 黑客攻击-木马免杀之PE文件
当你好不容易弄出来一个木马(具体可参考这里)的时候,却被杀毒软件轻易的就检测出来了,那一切岂不是白费了.Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么 ...
- 各类一句话木马免杀集合
各类一句话木马免杀集合,基本过D盾与安全狗,php.asp.aspx.jsp一句话和冰蝎,我写的文章链接如下: https://www.cnblogs.com/joke-ljh/p/13794125. ...
- 木马免杀之汇编花指令技巧
木马免杀之汇编花指令技巧 作者: 逆流风(发表于<黑客X档案>07.07,转载注明出处) 相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指 ...
最新文章
- oracle rman实时备份吗,ORACLE-RMAN自动备份和恢复
- Oracle数据库日常维护知识总结
- Windows 7无法使用Telnet命令
- 【android-cocos2d-X2.2 环境配置】在Mac下搭建Cocos2d-X-android开发环境!
- C 把两个bitmap文件合并成一个bitmap文件
- 018对象——对象 get_class get_declared_classes get_declared_interfaces
- iOS UITableView
- 大数据WEB阶段 Servlet配置优先级 , Spring容器设置对静态资源放行
- 最棒 Spring Boot 干货总结
- 给你一个能生成1到5随机数的函数,用它写一个函数生成1到7的随机数
- unix和linux的区别
- pku1157-------LITTLE SHOP OF FLOWERS(简单动态规划题:摆放鲜花使审美价值达到最高)...
- 【风电功率预测】基于matlab灰狼算法优化LSTM风电功率预测【含Matlab源码 1392期】
- 计算机管理无线网络 win10,如何在Windows 10中使用命令行管理WIFI无线网络
- 直接插入法排序(c++单链表的实现)
- 【测试开发】的Devops持续集成部署体系之Jenkins持续集成和持续部署基础应用
- python画图双纵轴多张图折线柱状图
- 实际场景中的多线程使用
- [XXII Open Cup, Grand Prix of Korea M]Yet Another Range Query Problem
- scratch编程石头剪刀布