赋能图片的免杀技巧

admin 2021-9-19 1203

0x01:简介

    思路:

    首先将程序进行分离把shellcode隐藏进图片里从远程调用图片里的shellcode把拉取shellcode执行程序进行伪装伪装成图片打开图片上线

    一、首先将程序分离,并把shellcode写进图片里。


    采用的是以下的项目

      https://github.com/Hangingsword/HouQingHou Qing(侯卿)基于Golang语言编写的,牛逼克拉斯免杀项目大家都去给个star啊

      记得先改一下以下的两个KEY的值

      同时修改,并数字相同


      生成shellcode


      把里面的核心取出放入到code.go里




      找一张jpg图片进行shellcode的注入

      (踩坑示范)

      (以下为MAC系统失败的图)


      (成功写入在Win 10下的图)


      将图片上传到未压缩的网站上

      记得看标红色的字样

      不然图片会被压缩改变


      在Loader.go中写入图片的远程地址


      二、远程调用测试

      (踩坑示范)

      (建议重头来 换个图片)

      (比如凉快点的图片)


      成功示范



      再编译成EXE


      给EXE改名


      再次测试上线


      三、伪装EXE 变成jpg

      (准备一张凉快点的照片)

      同时选中两个文件

      右键 选择添加压缩文件


      可以换成英文名

      方便后面改动


      设置完毕后

      点击kkk.exe就会

      自动的去运行对应的图片跟jaky.exe



      Unicode翻转改后缀


      首先先反转名称

      方便观看

      第一个是原程序

      第二个是反转名称后的


      在g名称前面右键

      选择插入Unicode字符的RLO


      效果图

      后面你们可以换图标

      建议不要随意换名字

      因为名字被颠倒过来了

      测试上线

      还是点击

      exe.jpg


      收工

      睡觉


      最新回复 (1)
      返回
      发新帖