相关资料和原理可以参考: https://www.crisprx.top/archives/515
注意 免杀效果不错,希望师傅们不跑沙箱,让这种方式存活的时间久一点!!!!
基于Golang实现的Shellcode内存加载器,共实现3中内存加载shellcode方式,UUID加载,MAC加载和IPv4加载
结合binject/universal
实现Golang的内存加载DLL方式,使用AllocADsMem
实现内存申请,以加强免杀效果
简单的反沙箱机制,这里只是一个简单的Demo思路,后续再研究相关反沙箱的思路技术
在CS生成C版本的shellcode后填充到shellcode_2_uuid.py
中:
运行后得到转化后的UUID,全部填充到对应的go文件中:
编译得到对应的可执行文件即可:
go build uuid_2_bin.go
在CS生成C版本的shellcode后填充到shellcode_2_mac.py
中运行后会生成mac_shell.txt
将其中的MAC地址填充到对应的go文件中:
编译得到对应的可执行文件即可:
go build mac_2_bin.go
使用和MAC内存加载器一致,参考MAC加载器使用方式