About This File
.--. .-. .-. .-. .-. .-. .-.
: .--': : : : : : : : : : : :
`. `. : `-. .--. : : : : .--. .--. .-' : .--. : : .--. .--. .-' : .--. .--.
_`, :: .. :' '_.': :_ : :_ ' ..'' .; :' .; :' '_.': :__ ' .; :' .; ; ' .; :' '_.': ..'
`.__.':_;:_;`.__.'`.__;`.__;`.__.'`.__.'`.__.'`.__.':___.'`.__.'`.__,_;`.__.'`.__.':_;
本次,Thehackworld 黑客世界,讲解如何搭建Windows免杀。以及后台控制端。将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术。
如果要用 .NET 2.0编译请手动编译,csc不支持某些代码
或者使用:
LoaderMaker.exe(shellcodeloader生成器)
ShellcodeLoader.exe(shellcodeloader模板文件)
反沙箱
-
判断父进程是否为Debugger
-
判断时间是否加速
一般沙盘内的程序时间都会加速。
- 判断进程是否有黑名单
判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。
- 判断MAC地址是否有黑名单
判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单列表。
- 判断系统盘是否大于50GB
一个正常PC的系统盘都会大于50GB。
使用
General:
运行生成的exe文件
Argument:
程序会保存加密好的数据到Output.txt
shellcode.exe "私钥" "加密shellcode"
更新
20200709:
- 新增x86远程注入(直接复制CACTUSTORCH的)
截图
VirusTotal(12/72):
常见的360、电脑管家、微软、卡巴斯基等都轻松免杀。
哈勃(未发现风险):
Hybrid Analysis(35/100):
程序: