一個免殺項目分享

  • 2022 年 8 月 18 日
  • 筆記

引言

這個本來是為某大型活動準備的,經過實戰測試,效果還行,實戰中即使用戶電腦存在殺軟進程,cs也能穩定上線。現在活動結束,平時基本也用不上了,所以分享出來以供技術交流(本著能用就行的原則沒來得及重構,項目結構有點亂)

github地址:

//github.com/shellfeel/Ant-AntV

環境要求:

裡面有使用一些高版本python的語法,所以最好使用最新版本的python3

使用方法:

  1. 執行pip install -r requirements
  2. 將cs、msf生成的shellcode命名成beacon.bin 放到當前bean_raw路徑下
  3. 如需給程式加上icon,可以將icon命名成mail_update.icon(可修改gen_trojan.py 48行形參out_file_name 來更改,這個參數本身也是生成的程式名)放入resource目錄
  4. 執行gen_trojan.py腳本

優缺點

特點:

  1. 使用了隨機密鑰(混淆加密、shellcode加密),所以每次生成的程式都是全新的(千人千面,釣魚時可以給每個對象都生成不一樣的程式),避免被殺軟散列標記導致全部失效。
  2. 一點點的反沙箱邏輯。
  3. 一點點的混淆
  4. win下一點點的upx壓縮。

缺點:

太大,生成的程式近10m。

免殺效果:

殺軟病毒庫情況

各殺軟都是最新版(2022/8/18)

image-20220818165155075

image-20220818165013422

image-20220818165215809

image-20220818161546317

靜態免殺效果

360

image-20220818155912845

火絨

image-20220818160326215

騰訊電腦管家

image-20220818161002423

windows defender

image-20220818161458327

動態免殺效果

cs上線效果

image-20220818162309890

VT沙箱效果圖

VT效果不是很好(10/71),但並不影響實際使用。

image-20220818163818158

提示

  • 如果生成的馬因為太敏感的操作而被標記,執行腳本重新生成即可
  • 免殺存在有效期,可能你看到的時候已經不免殺了也很正常。

公眾號

歡迎大家關注我的公眾號,這裡有乾貨滿滿的硬核安全知識,和我一起學起來吧!

VirMach 便宜 VPS

QNews

QNews