variant

Go Anti-Virus Framework

Description

本项目会不断添加各种免杀的技术，但是不适合直接不做任何修改的编译和使用，即使是有随机特征的编译

特别说明

1. 本项目不会有 GUI 版本，使用方法查看demo文件夹

2. 学习Go免杀的代码集合，顺手做了模块化处理，实际开发未结束，还在持续更新

3. 想要实现最好的免杀效果还需要自行修改渲染编译模板，代码提供了三种加载方式的渲染模板

更新日志

2024.2.5

1. 新增参数加载模块，可以自定义(随机)密钥

2. 模板简化，兼容所有模块的渲染

3. 渲染模块优化，兼容所有模块的调用

4. 新增远程加载模块，远程加密数据的上传会在渲染阶段完成，上传(curl:已完成, web:开发中...)支持代理

5. 新增动态数据模块可以和任意加载方式联动

6. 新增上传加密Payload随机化

7. 新增loader:earlybird

2024.2.4

1. 新增动态获取解密数据的模块 - Dynamic: payload, key, iv

2. 按照本地、远程、参数加载的方式重构，减少模板渲染的复杂度

3. 新增分离加载模块

4. 渲染模板优化

2024.1.30

1. lzw压缩导致熵值上升到7.0+；测试fmt.Printf("Hello World")编译后熵值在6.0-6.1之间，压缩模块下次一定

2. 远程加载：模块、模板、配置更新

3. 重构加密模块，利用反射根据传入的方法签名判断加密

4. 使用windows package重写了DLL调用模块，syscall&windows的总结

5. 模板新增根据自定义导入对应库设置

6. 新增多个多重加密/编码方法，Base32/62编码测试熵值比较低

2024.1.29

1. 新增渲染判断，模板可根据结构体来渲染

2. 更改为验证为沙箱之后程序正常退出

3. 新增代码检查：检查通过再编译；初始化：go install golang.org/x/tools/cmd/goimports@latest

4. 细化结构体：根据功能区分

5. 新增压缩算法：lzw, zstd；熵值模块

6. 新增动态方法：GetSelfSHA256Nth

7. 优化代码逻辑

2024.1.27

1. 模块化配置

2. 模板渲染

3. 编译控制

4. UPX压缩：需要检查upx.exe是否正确放置在build文件夹，才能正确初始化

5. 签名伪造

6. 添加图标文件信息：初始化：go install github.com/tc-hib/go-winres@latest

7. 模板更新

8. 反沙箱模块

TODO

•  动态key, iv

•  熵控制

•  隐藏导入表

项目地址

https://github.com/C1ph3rX13/variant

打个广告