一款基于Tauri+Rust的图形化免杀马生成工具

admin 2024年12月16日14:34:35评论72 views字数 2358阅读7分51秒阅读模式

一款基于Tauri+Rust的图形化免杀马快速生成工具

项目地址

https://github.com/lv183037/MaLoader

环境依赖

安装rust

rust官网

https://www.rust-lang.org/tools/install

一款基于Tauri+Rust的图形化免杀马生成工具

修改cargo源

创建文件 C:Users用户名.cargoconfig.toml,也可以修改为其他源

[source.crates-io]replace-with='rsproxy-sparse'[source.rsproxy]registry ="https://rsproxy.cn/crates.io-index"[source.rsproxy-sparse]registry ="sparse+https://rsproxy.cn/index/"[registries.rsproxy]index ="https://rsproxy.cn/crates.io-index"# 清华⼤学[source.tuna]registry ="https://mirrors.tuna.tsinghua.edu.cn/git/crates.io-index.git"# 中国科学技术⼤学[source.ustc]registry ="git://mirrors.ustc.edu.cn/crates.io-index"

安装msvc

安装msvc的编译环境

  1. 下载 Visual Studio Installer https://visualstudio.microsoft.com/zh-hans/downloads/
    一款基于Tauri+Rust的图形化免杀马生成工具
  2. 运行后安装MSVC工具链即可
    一款基于Tauri+Rust的图形化免杀马生成工具

使用方法

由于打包后的exe过大,故使用了upx加壳,release中的app.exe 是原版的应用,不放心的师傅可以放在虚拟机中运行,因考虑到免杀性需求,部分代码暂未开源。

  1. 首次运行后会在当前目录下生成history.json文件用于保存历史记录,bundlestatic目录下放置的是默认的捆绑文件与图标,删除后会影响默认配置的生成当前支持三种加载方式,点击生成后会默认在当前目录下生成对应的木马和需要分离加载的beacon
  2. bundle和static目录下放的是内置一些文件,更改后会默认选项的生成,也可以从本地自行选择文件进行加载,点击生成后会保存历史记录到history.jso文件,下次打开时可直接选用相应选项。
  3. console选项开启后,beacon运行时会开启cmd窗口。
  4. tools目录下,MSBbuild.exe是内置的微软签名文件,rcedit.exe用于添加文件信息,sigthief.exe是打包好的sigthief.py文件,SharpIncrease.exe可用于某些情况下膨胀文件体积用于bypassqvm,删除或更换名称也会影响内置选项。
  5. 选择绑定文件后,默认会在当前目录生成绑定的文件。
  6. 配置选择中的终端杀软情况和终端操作系统,是笔者个人针对不同杀软测试禁用了一些选项,结果可能不准确,具体免杀性可自行测试,这里仅供参考。
  7. 反沙箱这里出口IP用的是Github和微步上收集的一些微步沙箱的出口地址,常用软件检测的是微信、企业微信、钉钉。

windows7/server

win7及以下的系统需要安装nightly版本的rust进行编译

rustup install nightly-2023-12-14-x86_64-pc-windows-msvcrustup default nightly-2023-12-14-x86_64-pc-windows-msvc

同时需要在C:Users用户名.cargoconfig.toml中,添加如下代码

[target.'cfg(all(windows, target_env = "msvc"))']rustflags=["-C","target-feature=+crt-static","-C","link-arg=-Wl,-Bstatic","-C","link-arg=-Wl,-Bdynamic",]

由于rust版本库支持的原因,部分反沙箱和调试的功能与部分加载方式,在win7或者windows sever上无法正常运行,推荐使用如下配置生成木马,笔者自行测试在win7和server上均可正常运行。

一款基于Tauri+Rust的图形化免杀马生成工具

免杀效果

微步

一款基于Tauri+Rust的图形化免杀马生成工具

defender

实测defender会检测uuid的加载方式,实战遇到defender可以换其他类型的加密方式

一款基于Tauri+Rust的图形化免杀马生成工具

火绒

实测几种加密方式和加载方式均可上线

一款基于Tauri+Rust的图形化免杀马生成工具

360核晶

qvm极其不稳定,如果遇到360报毒qvm,可尝试更换签名与图标或者优先使用UUIDMAC加密,或使用tools/SharpIncrease.exe进行文件膨胀

SIncrease.exe -D target.exe -4-O output.exe
一款基于Tauri+Rust的图形化免杀马生成工具

卡巴斯基免费版

内存查杀可以配合Arsenal Kit进行beacon二开

一款基于Tauri+Rust的图形化免杀马生成工具

免责声明

该工具仅用于安全研究,禁止使用工具发起非法攻击等违法行为,造成的后果使用者负责。免杀具有时效性,免杀效果无法保证。

  1. 仅限用于技术研究和获得正式授权的攻防项目,请使用者遵守《中华人民共和国网络安全法》,切勿用于任何非法活动,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任!
  2. 为了保证免杀持久性,暂不进行开源,测试尽量通过本地断网环境,避免多次上传沙箱。
  3. 自开发程序无后门,不放心可移至虚拟机使用!

参考

https://github.com/b1nhack/rust-shellcode

https://github.com/joaoviictorti/RustRedOps

原文始发于微信公众号(SafeTime):一款基于Tauri+Rust的图形化免杀马生成工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日14:34:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一款基于Tauri+Rust的图形化免杀马生成工具https://cn-sec.com/archives/3513734.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息