X-AV Shellcode静态免杀框架

admin 2022年7月26日22:02:35程序逆向评论8 views1177字阅读3分55秒阅读模式

前言

这是前几年写的一个小工具,不参加护网了,留着也没用,QWQ

X-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,模板内置在二进制文件里面.

Github地址 https://github.com/XTeam-Wing/X-AV 

源码在知识星球 X-AV Shellcode静态免杀框架 建议配合go-strip食用.

Web版本

有文件捆绑功能,但是容易被杀.

Cmd版本

需要先安装garble

  1. GO111MODULE=on go get mvdan.cc/garble

参数说明

  • -domain string


        填写的话会生成带有虚假证书的exe


  •  -encrypt string


        加密方法:xor,rc4,aes(使用aes的时候要带上salt参数)


  •  -key string


        encryption key (default "1314")


  •  -loadermethod string


        选择shellcode加载方式 (default "CREATEFIBER",有五种加载方式)


  1. Syscall

  2. Uuid

  3. CreateFiber

  4. CreateProcessWithPipe

  5. EtwpCreateEtwThread

  • -o string


        output path (default "boomsec.exe")


  •  -password string


        fake domain cert password (default "201314",搭配-domain参数)


  •  -persistence


        Persistence[True or False] 权限维持功能


  •  -salt string


        aes 加密的salt,配合aes加密方法


  •  -sandbox


        Bypass Sandbox Check,是否添加反沙盒技术,默认否


  •  -shellcodepath string


        shellcode path (default "shellcode.bin")


  •  -v display detail infomation

常规使用

不加沙盒

  1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber

添加反沙盒技术

  1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber -sandbox

使用aes+uuid

  1. go run main.go -shellcodepath cdn.bin -encrypt aes -salt -key wing -salt key -o 23.exe -loadermethod uuid

X-AV Shellcode静态免杀框架


原文始发于微信公众号(RedTeaming):X-AV Shellcode静态免杀框架

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月26日22:02:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  X-AV Shellcode静态免杀框架 http://cn-sec.com/archives/1202719.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: