前言
这是前几年写的一个小工具,不参加护网了,留着也没用,QWQ
X-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,模板内置在二进制文件里面.
Github地址 https://github.com/XTeam-Wing/X-AV
源码在知识星球 
建议配合go-strip食用.
Web版本
有文件捆绑功能,但是容易被杀.
Cmd版本
需要先安装garble
GO111MODULE=on go get mvdan.cc/garble
参数说明
-
-domain string
填写的话会生成带有虚假证书的exe
-
-encrypt string
加密方法:xor,rc4,aes(使用aes的时候要带上salt参数)
-
-key string
encryption key (default “1314”)
-
-loadermethod string
选择shellcode加载方式 (default “CREATEFIBER”,有五种加载方式)
Syscall
Uuid
CreateFiber
CreateProcessWithPipe
EtwpCreateEtwThread
-
-o string
output path (default “boomsec.exe”)
-
-password string
fake domain cert password (default “201314”,搭配-domain参数)
-
-persistence
Persistence[True or False] 权限维持功能
-
-salt string
aes 加密的salt,配合aes加密方法
-
-sandbox
Bypass Sandbox Check,是否添加反沙盒技术,默认否
-
-shellcodepath string
shellcode path (default “shellcode.bin”)
-
-v display detail infomation
常规使用
不加沙盒
go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber
添加反沙盒技术
go run main.go -shellcodepath cdn.bin -encrypt rc4 -key wing -salt key -o 22.exe -loadermethod CreateFiber -sandbox
使用aes+uuid
go run main.go -shellcodepath cdn.bin -encrypt aes -salt -key wing -salt key -o 23.exe -loadermethod uuid
原文始发于微信公众号(RedTeaming):X-AV Shellcode静态免杀框架
