- Notifications
You must be signed in to change notification settings - Fork103
Pizz33/GobypassAV-shellcode
Folders and files
| Name | Name | Last commit message | Last commit date | |
|---|---|---|---|---|
Repository files navigation
cobaltstrike免杀,实测过 bypass火绒、360、360核晶、360杀毒、def、金山毒霸等主流杀软
shellcode写在文件里容易被提取特征,beacon远程加载免杀性和持久性会更好,但请求的地址容易被封禁和溯源,在实战中根据实际情况选择,并配合云函数或CDN进行C2地址隐匿
| 杀软类型 | 免杀绕过技巧 |
|---|---|
| 火绒 | 编译参数限制多,对hash和字符串特征进行识别,静态能过动态基本不查杀,对很多go库调用报毒 |
| 360 | 单360查杀力不高,装了杀毒后直接儿子变爸爸,查杀力大大提升,对于简单的加密识别度较高,容易上线后云查杀过一会掉线,推荐使用分离加载方式,并使用反沙箱的代码延长马子时间 |
| 360核晶 | 开启后对整体查杀性能影响不大,避免使用进程注入的方式加载shellcode,无法执行大部分cmd命令和相关程序(使用bof插件进行替代) |
| Defender | 新增许多cobaltstrike规则,推荐使用Stageless,免杀性比Stage好,4.5版本开启sleep_mask参数增强免杀性,对体积大的文件查杀度不高 |
详细教程请移步博客:https://pizz33.github.io/posts/4ac17cb886a9/
食用方法:
1、生成c的payload
2、go run encode.go orpython xor64.py 对shellcode进行加密
3、加密后的结果填到代码里编译运行go build decode.go
远程加载把加密后的字符串放到云端,把云端地址填到对应位置生成 (可放到vps上或使用oss云存储等)
(这里大多报错为缺少依赖,运行go mod init &go mod tidy 拉取即可)
免杀效果:
项目仅供进行学习研究,切勿用于任何非法未授权的活动,如个人使用违反安全相关法律,后果与本人无关
站在巨人的肩膀上学习,参考借鉴以下师傅的项目,特别感谢
https://learn.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualalloc
https://github.com/7BitsTeam/EDR-Bypass-demo
https://www.yuque.com/aufeng/aufeng_good/aq09p0#yNorm
https://mp.weixin.qq.com/s/xiFbSE6goKFqLAlyACi83A
https://github.com/timwhitez/Doge-Loader
https://github.com/TideSec/GoBypassAV
https://www.crisprx.top/archives/515
https://github.com/Ne0nd0g/go-shellcode
About
shellcode免杀加载器,使用go实现,免杀bypass火绒、360、核晶、def等主流杀软
Topics
Resources
Uh oh!
There was an error while loading.Please reload this page.
Stars
Watchers
Forks
Releases
Packages0
Uh oh!
There was an error while loading.Please reload this page.