go免杀思路研究
go免杀思路研究
今天看了几个Go语言的免杀项目,由于这些项目发布已经有些时间了,免杀效果早已大不如前,遂想将这几个项目核心思想结合一下,生成一个新的免杀项目,这里总结一下几个项目的核心思想:
Syscall直接系统调用
shellcode远程加载(远程加载图片中的shellcode)
shellcode混淆加密(以Base64为例)
沙箱绕过
随机变量名生成
参考的项目如下:
pureqh/bypassAV: 免杀shellcode加载器 (github.com)
Hangingsword/HouQing (github.com)
目前火绒没绕过去。。。这令我很吃惊,360、def完美落地,火绒我研究一下,源码比较拙劣,先不放了,放张打包成exe后的VT检测图