X-AV Shellcode静态免杀框架

预览

前言

这是前几年写的一个小工具,不参加护网了,留着也没用,QWQ

X-AV是使用golang编写的一款shellcode混淆加载器，便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,模板内置在二进制文件里面.

Github地址 https://github.com/XTeam-Wing/X-AV 

源码在知识星球  建议配合go-strip食用.

Web版本

有文件捆绑功能,但是容易被杀.

Cmd版本

需要先安装garble

1. GO111MODULE=on go get mvdan.cc/garble

参数说明

• -domain string

      填写的话会生成带有虚假证书的exe

•  -encrypt string

      加密方法:xor,rc4,aes(使用aes的时候要带上salt参数)

•  -key string

      encryption key (default "1314")

•  -loadermethod string

      选择shellcode加载方式 (default "CREATEFIBER"，有五种加载方式)

1. Syscall

2. Uuid

3. CreateFiber

4. CreateProcessWithPipe

5. EtwpCreateEtwThread

• -o string

      output path (default "boomsec.exe")

•  -password string

      fake domain cert password (default "201314"，搭配-domain参数)

•  -persistence

      Persistence[True or False] 权限维持功能

•  -salt string

      aes 加密的salt，配合aes加密方法

•  -sandbox

      Bypass Sandbox Check，是否添加反沙盒技术，默认否

•  -shellcodepath string

      shellcode path (default "shellcode.bin")

•  -v display detail infomation

常规使用

不加沙盒

1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber

添加反沙盒技术

1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber -sandbox

使用aes+uuid

1. go run main.go -shellcodepath cdn.bin -encrypt aes -salt -key wing -salt key -o 23.exe -loadermethod uuid