一款用于PE文件绑定免杀的工具: Shellter
简介
Shellter是一种动态二进制程序壳程序,它可以在现有的可执行文件中隐藏恶意软件。它使用动态链接库技术来实现恶意代码的注入,并且可以在不修改现有的可执行文件的情况下进行注入。这使得它非常难以检测,因为它不会改变文件的哈希值或数字签名
Shellter的官方下载地址:https://www.shellterproject.com/
当前Shellter最新免费版本是v7.2,最新收费版本是v_pro4.7
简单实例
1.选择模式
点击shellter.exe运行工具进入命令行界面, 随后选择模式, 这里我输入A, 即选择自动模式
2.绑定32位PE文件
填写PE文件路径并要求此PE文件是32位的, 此处我以32位的calc.exe(计算器)为例, 先将calc.exe拖到Shellter文件目录, 然后填写PE文件路径, 随后会在Shellter_Backups目录备份原PE文件
3.是否开启隐身模式
询问是否启用隐身模式, 此处我选择了Yes
启用隐身模式后, 执行生成的免杀木马不仅可以上线, 还能正常使用原PE文件的功能, 但缺点是免杀效果差
4.填写监听
询问你是使用工具自带的payload还是自定义监听, 此处我输入L选择自带payload, 然后输入2选着HTTP监听
此处我使用CS来创建监听, 监听的地址和端口是`192.168.47.155:80`, 然后在Shellter命令行中填写
5.测试效果
生成的免杀木马会覆盖原先PE文件, 执行效果如下图所示
杀软测试
将免杀木马发送到杀毒平台检测, 可以发现还是能绕过绝大多数杀软的, 像火绒,360杀毒这些主流杀软都能绕过, 但是这只仅仅是静态扫描, 动态扫描还是很难绕过