快速生成免杀木马

1►

工具开发需求

1、原版项目已经不免杀了，需要bypass常见杀软。

2、在HW、攻防演练等场景下，需要快速生成免杀木马，并且保证文件md5都不一样。

3、节约时间，不用在项目上，投入专门的人员进行代码编写。

4、高度可拓展和自定义。

原版程序：

https://github.com/knownsec/shellcodeloader二开作者：Wangfly请大家多多提交issues，感谢！！！

2►

魔改二开

1、远程加载将Shellcode和loader分开，loader里面只保留Shellcode的URL地址，方便随时销毁。

2、加入Hex、Base64（自定义）加密算法，保留原本的流加密算法，以当前时间戳为key，进行对URL加密，将其保存在资源节中。

3、木马名称随机化，加上流加密算法，使得每次生成的木马md5都不一样。

4、加入了AES（外部传key）、Base64（自定义）、RC4（自定义）算法加密解密Shellcode。

5、高危Windows API，全部采用动态加载的方式，能够使用NT函数替换的全部进行了替换，部分模板的函数API进行了UnhookPatch。

6、针对卡巴斯基、Norton等对内存查杀较严的杀软，采取IAT Hook和VEH Hook对Beacon进行内存加密+配合C2profile的Sleep_mask选项和自定义通信方式基本无解。

7、针对Norton、360qvm等静态查杀较严的杀软，使用Arkari进行代码混淆。

8、增强完善了反沙箱、反调试。

3►

上线方式

64位

32位

4►

编译设置

1、Release进行编译，设置为MT、/arch：x64、语言标准选择C++ 17，生成的文件是DAT后缀的。

2、若你的vs2022有安装集成Arkari，那么免杀效果更好，没有的话，普通生成即可。

3、模板代码选择不生成Debug调试信息和清单文件，还需要调整堆栈保留大小为3MB。

5►

食用方式

1、加密Shellcode，选择Stagerless，生成RAW格式。

2、生成的beacon.bin放入程序目录下，然后运行命令加密，AES key可以自定义（256bit）。

encbin.exe bin文件 AES key

3、将P.bmp上传至云端生成链接，链接必须是访问后，自动下载那种。

4、URL填入，AES key填入，选择模板生成即可。

6►

免杀效果

整体免杀效果

卡巴斯基企业版

Norton

启发式查杀很厉害，需要给木马加入正常程序的图标、版本信息、清单、数字签名。必须使用Bof操作，shell运行就掉线。

ESET

自定义扫描了系统内存和桌面文件。

360全家桶（物理机）

QVM引擎（很疯狂，大部分时候真不是代码问题）需要做和Norton一样的处理。

WDF（2016服务器版本）

运行后会提示你复查，不用管，依旧可以上线。

火绒+金山

McAfee

单个免杀效果

部分杀软需要添加白程序的签名、版权信息等，如Norton、360、Symantec。

APC-Injetc+Ntdll

bypass：金山（数字签名）、火绒、ESET、360全家桶（物理机）、WDF（PC）、McAfee、卡巴企业版（时间5s 抖动50 Sleep_mask）

nobypass：WDF（服务器无法上线）、Norton（静态）

CreateRemoteThread+Syscall+Ntdll Inject

bypass：McAfee、火绒、金山（数字签名）、ESET、360全家桶（物理机）、WDF（PC）、卡巴企业版（时间5s 抖动50 Sleep_mask）

nobypass：Norton（静态）、WDF（服务器无法上线）

CreateThread-Inject+IAT Hook Inject

bypass：McAfee、金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（Server）、Symantec（加白程序资源）

nobypass：

CreateThreatPoolWait+VEH Hook

bypass：McAfee、金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（服务器）

nobypass：

Fiber+VEH Hook Load

bypass：金山（数字签名）、火绒、ESET、360全家桶（物理机）、WDF（PC）、WDF（服务器提示复查（关云保护））、McAfee、Norton（加白程序资源）、卡巴企业版（时间5s 抖动50 Sleep_mask）

nobypass：

NtTestAlert+VEH Hook Load

bypass：金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、WDF（PC）、WDF（服务器提示）、McAfee、Norton（加白程序资源）

nobypass：

Syscall+IAT Hook Load

bypass：金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（服务器）、McAfee

nobypass：

Callback+IAT Hook Load plus（x86）

bypass：360全家桶（物理机）、WDF（PC）、ESET、金山（数字签名）、火绒、WDF（服务器提）、McAfee、卡巴企业版

nobypass：Norton（静态）

memoryMapInjection+Syscall+Ntdll

bypass：360全家桶（物理机）、WDF（PC）、ESET、金山（数字签名）、火绒、WDF（服务器）、McAfee、卡巴企业版（时间5s 抖动50 Sleep_mask）

nobypass：Norton（静态），WDF（服务器）

Function+VEH Hook Load

bypass：卡巴企业版、ESET、McAfee、金山（数字签名）、火绒、360全家桶（物理机）（数字签名+版权信息+清单+图标（可有可无））、WDF（PC）、ESET

nobypass：Norton（静态）

7►

工具获取

https://github.com/wangfly-me/LoaderFly

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END