Go语言实现的木马免杀
Go-Shellcode-Bypass
Golang实现的简单免杀,项目地址:https://github.com/Cuerz/Go-Shellcode-Bypass
免杀思路
原理:1.延长运行时间,导致杀软检测超时,
2.利用杀软对golang的弱检测,
3.对shellcode进行多次编码解码来隐藏特征,
4.加载无关字符串混淆。
首先用msf或者cs生成shellcode,我这里是c语言格式的弹出计算器的shellcode,用于测试。
这里,需要转换一下格式,将\x替换为0x,中间用逗号隔开
最后会变成这样,其实到这里就可以用go来编译运行了,但尝试下来,这样的效果也不好。
后来修改了一下,把shellcode 单独拿出来,这里把0x
逗号 还有换行空格全部去掉,在加载时再恢复.
最后变成这样的16进制字符串,此时再进行免杀效果就很不错。
注意将这时的shellcode保存在txt文件,使用其他格式的文件来进行混淆。
编译 go程序,go build main.go
还可以做点手脚,比如去掉运行时的黑框 go build -ldflags="-H windowsgui -w -s" main.go
甚至可以让程序调用打开图片,让人以为这是一个打开图片的程序,放松警惕。
运行效果
此时VirusTotal查杀有11个杀软检测出来
再对shellcode进行多次base64编码,再次查杀后效果就好很多了。
我自己电脑上的火绒没有查出来,360和腾讯也过了。
运行
编译程序
go build main.go
去掉运行时的黑框
go build -ldflags="-H windowsgui -w -s" main.go