标签：免杀 go build 木马 Go main shellcode

Go-Shellcode-Bypass

Golang实现的简单免杀，项目地址：https://github.com/Cuerz/Go-Shellcode-Bypass

免杀思路

原理：1.延长运行时间，导致杀软检测超时，

​ 2.利用杀软对golang的弱检测，

​ 3.对shellcode进行多次编码解码来隐藏特征，

​ 4.加载无关字符串混淆。

首先用msf或者cs生成shellcode，我这里是c语言格式的弹出计算器的shellcode，用于测试。

这里，需要转换一下格式，将\x替换为0x，中间用逗号隔开

最后会变成这样，其实到这里就可以用go来编译运行了，但尝试下来，这样的效果也不好。

后来修改了一下，把shellcode 单独拿出来，这里把0x 逗号 还有换行空格全部去掉，在加载时再恢复.

最后变成这样的16进制字符串，此时再进行免杀效果就很不错。

注意将这时的shellcode保存在txt文件，使用其他格式的文件来进行混淆。

编译 go程序，go build main.go

还可以做点手脚，比如去掉运行时的黑框 go build -ldflags="-H windowsgui -w -s" main.go
甚至可以让程序调用打开图片，让人以为这是一个打开图片的程序，放松警惕。

运行效果

此时VirusTotal查杀有11个杀软检测出来

再对shellcode进行多次base64编码，再次查杀后效果就好很多了。

我自己电脑上的火绒没有查出来，360和腾讯也过了。

运行

编译程序

go build main.go

去掉运行时的黑框

go build -ldflags="-H windowsgui -w -s" main.go

标签：免杀,go,build,木马,Go,main,shellcode
来源： https://www.cnblogs.com/SeanGyy/p/16687267.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。