工具介绍
go shellcode加载器 免杀火绒 360核晶等主流杀软
静态加密
aes+base64,使用分离加载不用担心原生文件被杀
加载器免杀
通过dll调用windows api
实现了直接SyscallN执行shellcode,还有线程注入以及earlybirl注入
反沙箱
发现微步识别内存大小检测为反虚拟机技术,就改成了系统语言检测,多因素判断是否在沙箱中,目前效果一般。
免杀效果
加密后的bin文件
生成的exe过火绒 df 360
上线
360
核晶
火绒
exe沙箱结果
工具下载
https://github.com/z2zQAQ/go-z2zloader/tree/main
原文始发于微信公众号(夜组科技圈):Go shellcode加载器 免杀火绒 360核晶等主流杀软
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论