开发需求
1、原版项目已经不免杀了,需要bypass常见杀软。
2、在HW、攻防演练等场景下,需要快速生成免杀木马,并且保证文件md5都不一样。
3、节约时间,不用在项目上,投入专门的人员进行代码编写。
4、高度可拓展和自定义。
魔改二开
1、远程加载将Shellcode和loader分开,loader里面只保留Shellcode的URL地址,方便随时销毁。
2、加入Hex、Base64(自定义)加密算法,保留原本的流加密算法,以当前时间戳为key,进行对URL加密,将其保存在资源节中。
3、木马名称随机化,加上流加密算法,使得每次生成的木马md5都不一样。
4、加入了AES(外部传key)、Base64(自定义)、RC4(自定义)算法加密解密Shellcode。
5、高危Windows API,全部采用动态加载的方式,能够使用NT函数替换的全部进行了替换,部分模板的函数API进行了UnhookPatch。
6、针对卡巴斯基、Norton等对内存查杀较严的杀软,采取IAT Hook和VEH Hook对Beacon进行内存加密+配合C2profile的Sleep_mask选项和自定义通信方式基本无解。
7、针对Norton、360qvm等静态查杀较严的杀软,使用Arkari进行代码混淆。
8、增强完善了反沙箱、反调试。
上线方式
64位
32位
编译设置
1、Release进行编译,设置为MT、/arch:x64、语言标准选择C++ 17,生成的文件是DAT后缀的。
2、若你的vs2022有安装集成Arkari,那么免杀效果更好,没有的话,普通生成即可。
3、模板代码选择不生成Debug调试信息和清单文件,还需要调整堆栈保留大小为3MB。
食用方式
1、加密Shellcode,选择Stagerless,生成RAW格式。
2、生成的beacon.bin放入程序目录下,然后运行命令加密,AES key可以自定义(256bit)。
encbin.exe bin文件 AES key
3、将P.bmp上传至云端生成链接,链接必须是访问后,自动下载那种。
4、URL填入,AES key填入,选择模板生成即可。
整体免杀效果
卡巴斯基企业版
Norton
启发式查杀很厉害,需要给木马加入正常程序的图标、版本信息、清单、数字签名。必须使用Bof操作,shell运行就掉线。
ESET
自定义扫描了系统内存和桌面文件。
360全家桶(物理机)
QVM引擎(很疯狂,大部分时候真不是代码问题)需要做和Norton一样的处理。
WDF(2016服务器版本)
运行后会提示你复查,不用管,依旧可以上线。
火绒+金山
McAfee
下载地址:
原文始发于微信公众号(渗透仔):【免杀工具分享】- 魔改二开快速免杀生成器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论