戟星安全实验室
本文约1000字,阅读约需3分钟。
0x00 NIM介绍
1. Nim 是一门开源的编程语言
2. Nim 的独到之处在于它可以编译成其他编程语言代码(主要是 C 语言和 JavaScript)
3. 将 Nim与 C 语言或 JavaScript 代码集成在一起可以获得最大的价值
4. Nim 可以生成高质量的 C 语言代码,避免出现 C 语言的典型错误(如内存泄露和数组指针错误)
0x01 NIM下载
NIM 下载地址:
https://nim-lang.org/install.html
0x02 安装
添加到环境变量,测试
然后下载nim免杀项目
https://github.com/aeverj/NimShellCodeLoader.git进入NimShellCodeLoader_Winx64NimShellCodeLoaderencryption 目录,使用以下代码编译
nim c -d:release --opt:size Tdea.nimnim c -d:release --opt:size Caesar.nim
编译codeLoder项目
0x03 使用
打开 codeLoader.exe 图形化界面,将cs生成的test.bin 直接拖进来
目前提供了20+ 免杀方式,这里使用CopyFileEx-ACE
生成的文件放在NimShellCodeLoaderbin 目录下
经测试,目前360和火绒可正常上线
VT结果,将将就就
0x04 总结
-
使用该方式免杀,生成的文件还是比较小的,大概400k左右。部分场景可以利用bitsadmin、certutil等落地执行。
-
使用偏门语言的shellcode加载器处理免杀,一直是很流行的方案,语言也一变在变,从最开始的python免杀,go免杀到现在的nim语言免杀。
-
实际场景发现,目前加载器方法可以静态过某数字,但执行beacon还是会掉线,有待进一步优化。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(戟星安全实验室):手把手教你学会nim快速免杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论