红队专用免杀木马生成工具

admin

101398
文章

87
评论

2023年1月29日16:03:04评论265 views字数 1224阅读4分4秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

工具简介

一款红队专用免杀木马生成器，该工具可以通过红队人员提供的一段 shellcode 快速生成一个绕过所有杀软的可执行木马。

特点

基于Syscall进行免杀，且随机混淆，可过几乎所有杀软内置go-strip对Go生成的木马进行编译信息抹除与程序信息混淆工具本体只有1个exe，搭配Go环境即可直接使用

工具使用

下载二进制文件，并且在系统上安装Go语言环境，然后将shellcode保存到1个txt文件中，即可使用本工具生成免杀马。

Usage of CuiRi.exe:  -f string    通过shellcode生成免杀马  -manual      查看shellcode生成方法

支持的 shellcode 格式分为以下两种：

1. C语言字符串格式 shellcode：

"xfcx48x83xe4xf0xe8xccx00x00x00x41x51x41x50x52""x48x31xd2x51x65x48x8bx52x60x56x48x8bx52x18x48""x8bx52x20x48x8bx72x50x48x0fxb7x4ax4ax4dx31xc9""x48x31xc0xacx3cx61x7cx02x2cx20x41xc1xc9x0dx41""x01xc1xe2xedx52x41x51x48x8bx52x20x8bx42x3cx48"

2. 纯十六进制数值格式 shellcode:

注意：如果是从 Cobalt Strike 中生成的 bin 文件，请单独将 bin 里的十六进制复制保存到一个 txt 文件中。

fce8 8900 0000 6089 e531 d264 8b52 308b520c 8b52 148b 7228 0fb7 4a26 31ff 31c0ac3c 617c 022c 20c1 cf0d 01c7 e2f0 52578b52 108b 423c 01d0 8b40 7885 c074 4a01d050 8b48 188b 5820 01d3 e33c 498b 348b01d6 31ff 31c0 acc1 cf0d 01c7 38e0 75f4037d f83b 7d24 75e2 588b 5824 01d3 668b