C++免杀项目推荐

利用工厂模式实现反射

HW在即，无论是红队攻击还是蓝队反制，都需要一个强力的免杀后门，这里我们推荐一个低成本且简单的强力免杀的项目，这里我对该项目进行了二次修改，源码由于重装系统丢失了，无法直接对比，在文末提供给大家我修改后的代码。

编译平台: VS2019 Debug模式编译

Shellcode: CobaltStrike生成x64-Payload

改动内容

增加了窗体隐藏

FileItem.cpp: 修改FileItem类方法为Shellcode加载器

FileItem.cpp 改造过程

普通的Shellcode加载器

增加一点点沙箱/虚拟机检测技术

本意是通过增加内存>7判断是否执行内存加载行为，实战中有利有弊，利的是可以绕过沙箱/虚拟机检测，无法跑出网络行为，弊是由于调用了过多函数反而可能会被某些平台判断为使用了反虚拟机技术，各位可自行选择是否需要这段代码

Shellcode 混淆

处理Shellcode数组去除x、0x，倒序hex并替换0为*做简单混淆，记得更改ch1和ch2长度

有条件的大佬建议使用自加密算法更妥当

shellcode处理：

1855*2即为ch1、ch2长度

加载

Gmain为内存判断函数，可自行修改条件，推荐Gmain()>7

使用方法

根据个人需求决定，如果各位不想改多余代码，直接修改自己Shellcode为上述格式重新编译。

免杀效果

大约2M，可以去除多余代码加UPX

沙箱中测试：

无恶意行为：

项目地址

https://neo-kkp.lanzous.com/i3Oskfqyexc