木马免杀制作器
本项目是本人对木马免杀技术的研究,技术可能来自于个人脑洞以及互联网!
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
本项目对应的加载器项目:https://github.com/SurrealSky/shellcode_launcher
本项目使用的免杀主要是PE文件改造,分离执行,inline hook等技术。
-
软件说明
- 任意程序捆绑器
- 对任意程序增加新的区段,并捆绑CS生成的stage木马到新区段,修改程序OPE指向。
- 加载器捆绑
- 捆绑stage:搭配SCByPE加载器,对加载器程序增加新的区段,加密stage木马,并捆绑到新的区段,加载器负责解密木马程序,并执行。
- 捆绑URL:搭配SCByPE加载器,对加载器程序增加新的区段,加密stageless url,并捆绑到新的区段,加载器负责解析url链接下载木马程序,并执行。
- 分离加密方式
- 加密RAW:搭配SCByFile加载器,加密stage木马程序到新的文件,加载器以此文件为参数运行,解析出木马代码,并执行stage木马。
- 加密URL:搭配SCByFile加载器,加载stageless木马url到新的文件,加载器以此文件为参数运行,下载stageless木马,并执行。
- 任意程序捆绑器
-
注意
- 目前未增加花指令,编译器伪装代码,api hook等技术。
免杀能力说明
-
1、任意程序捆绑器
- 现状:免杀效果最差。
- 改进:可增加花指令,将木马程序插入到程序空闲区域,OEP指向原程序,通过硬编码跳转,或通过hook api触发。
-
2、加载器捆绑
- 捆绑stage
- 现状:免杀效果较差。
- 改进:无。
- 捆绑URL
- 现状:免杀效果一般
- 改进:无。
- 捆绑stage
-
3、分离加密方式
- 加密RAW
- 现状:可免杀主流杀软。
- 改进:增加地狱之门等技术。
- 加密URL
- 现状:可免杀主流杀软。
- 改进:增机地狱之门等技术。
- 加密RAW
good luck!~