X-AV Shellcode静态免杀框架
VSole2022-07-26 18:46:56
前言
这是前几年写的一个小工具,不参加护网了,留着也没用,QWQ
X-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,模板内置在二进制文件里面.
Github地址 https://github.com/XTeam-Wing/X-AV
源码在知识星球 建议配合go-strip食用.
Web版本
有文件捆绑功能,但是容易被杀.
Cmd版本
需要先安装garble
GO111MODULE = on go get mvdan . cc / garble
参数说明
- -domain string
- 填写的话会生成带有虚假证书的exe
- -encrypt string
- 加密方法:xor,rc4,aes(使用aes的时候要带上salt参数)
- -key string
- encryption key (default "1314")
- -loadermethod string
- 选择shellcode加载方式 (default "CREATEFIBER",有五种加载方式)
Syscall Uuid CreateFiber CreateProcessWithPipe EtwpCreateEtwThread
- -o string
- output path (default "boomsec.exe")
- -password string
- fake domain cert password (default "201314",搭配-domain参数)
- -persistence
- Persistence[True or False] 权限维持功能
- -salt string
- aes 加密的salt,配合aes加密方法
- -sandbox
- Bypass Sandbox Check,是否添加反沙盒技术,默认否
- -shellcodepath string
- shellcode path (default "shellcode.bin")
- -v display detail infomation
常规使用
不加沙盒
go run main . go - shellcodepath cdn . bin - encrypt rc4 - key wing - salt key - o 22.exe - loadermethod CreateFiber
添加反沙盒技术
go run main . go - shellcodepath cdn . bin - encrypt rc4 - key wing - salt key - o 22.exe - loadermethod CreateFiber - sandbox
使用aes+uuid
go run main . go - shellcodepath cdn . bin - encrypt aes - salt - key wing - salt key - o 23.exe - loadermethod uuid
VSole
网络安全专家