长亭百川云 - 文章详情

X-AV Shellcode静态免杀框架

RedTeaming

56

2024-07-13

前言

这是前几年写的一个小工具,不参加护网了,留着也没用,QWQ

X-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,模板内置在二进制文件里面.

Github地址 https://github.com/XTeam-Wing/X-AV 

源码在知识星球  建议配合go-strip食用.

Web版本

有文件捆绑功能,但是容易被杀.

Cmd版本

需要先安装garble

  1. GO111MODULE=on go get mvdan.cc/garble

参数说明

  • -domain string

        填写的话会生成带有虚假证书的exe

  •  -encrypt string

        加密方法:xor,rc4,aes(使用aes的时候要带上salt参数)

  •  -key string

        encryption key (default "1314")

  •  -loadermethod string

        选择shellcode加载方式 (default "CREATEFIBER",有五种加载方式)

  1. Syscall

  2. Uuid

  3. CreateFiber

  4. CreateProcessWithPipe

  5. EtwpCreateEtwThread

  • -o string

        output path (default "boomsec.exe")

  •  -password string

        fake domain cert password (default "201314",搭配-domain参数)

  •  -persistence

        Persistence[True or False] 权限维持功能

  •  -salt string

        aes 加密的salt,配合aes加密方法

  •  -sandbox

        Bypass Sandbox Check,是否添加反沙盒技术,默认否

  •  -shellcodepath string

        shellcode path (default "shellcode.bin")

  •  -v display detail infomation

常规使用

不加沙盒

  1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber

添加反沙盒技术

  1. go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber -sandbox

使用aes+uuid

  1. go run main.go -shellcodepath cdn.bin -encrypt aes -salt -key wing -salt key -o 23.exe -loadermethod uuid
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2