关于此文件
.--. .-. .-. .-. .-. .-. .-.
: .--': : : : : : : : : : : :
`. `. : `-. .--. : : : : .--. .--. .-' : .--. : : .--. .--. .-' : .--. .--.
_`, :: .. :' '_.': :_ : :_ ' ..'' .; :' .; :' '_.': :__ ' .; :' .; ; ' .; :' '_.': ..'
`.__.':_;:_;`.__.'`.__;`.__;`.__.'`.__.'`.__.'`.__.':___.'`.__.'`.__,_;`.__.'`.__.':_;
本次,Thehackworld 黑客世界,讲解如何搭建Windows免杀。以及后台控制端。将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术。
如果要用 .NET 2.0编译请手动编译,csc不支持某些代码
或者使用:
LoaderMaker.exe(shellcodeloader生成器)
ShellcodeLoader.exe(shellcodeloader模板文件)
反沙箱
-
判断父进程是否为Debugger
-
判断时间是否加速
一般沙盘内的程序时间都会加速。
- 判断进程是否有黑名单
判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。
- 判断MAC地址是否有黑名单
判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单列表。
- 判断系统盘是否大于50GB
一个正常PC的系统盘都会大于50GB。
使用
General:
运行生成的exe文件
Argument:
程序会保存加密好的数据到Output.txt
shellcode.exe "私钥" "加密shellcode"
更新
20200709:
- 新增x86远程注入(直接复制CACTUSTORCH的)
截图
VirusTotal(12/72):
常见的360、电脑管家、微软、卡巴斯基等都轻松免杀。
哈勃(未发现风险):
Hybrid Analysis(35/100):
程序:
8Q28RL8GVQOFEN9W.png.4b20884c401f2a404c6d6637fc85b023.png)
![Q2U7`7WQ_H)WV]Q{A@E795B.png](https://www.hackhat.org/uploads/monthly_2023_10/588353420_Q2U77WQ_H)WVQA@E795B.png.4007fffeaf70d754f85d02fdebe8a3c9.png)
8Q28RL8GVQOFEN9W.png.4ca41fb4c790144a24a15038f17e8a63.png)
![ZVQ_N8XD6$J@A]D@I3~E5J9.png](https://www.hackhat.org/uploads/monthly_2023_10/1057429912_ZVQ_N8XD6J@AD@I3E5J9.png.026da85428ee56ee0d5633a3bd26de8f.png)
8Q28RL8GVQOFEN9W.png.b246c6332654124887e26aaa73c25766.png)
![Q2U7`7WQ_H)WV]Q{A@E795B.png](https://www.hackhat.org/uploads/monthly_2023_10/1335970708_Q2U77WQ_H)WVQA@E795B.png.ecfe075ff209da44424081c92cdea8ac.png)
