Lasertems/AV-skip-Builder

# 免杀木马生成器 **本项目代表我个人对免杀木马技术的研究，其中可能包含我个人的想法以及网络上的资源！** **重要提示：本文讨论的技术、概念和工具仅供安全相关的教育目的使用。任何人不得将其用于非法活动或盈利目的。违规者将对由此产生的任何后果承担全部责任！** 与本项目对应的加载器项目：[https://github.com/SurrealSky/shellcode_launcher](https://github.com/SurrealSky/shellcode_launcher) 本项目采用的免杀技术主要涉及 PE 文件修改、解耦执行和 inline hooking。 - **软件说明** + 通用程序捆绑器 - 在任何程序中添加一个新节（section），将 CS 生成的 stage 木马捆绑到新节中，并修改程序的 OPE 指针。 + Loader 捆绑 - Stage 捆绑：与 SCByPE loader 配合使用，在 loader 程序中添加一个新节，将 stage 木马加密后捆绑到新节中。loader 将解密并执行该木马程序。 - URL 捆绑：与 SCByPE loader 配合使用，在 loader 程序中添加一个新节，将 stageless URL 加密后捆绑到新节中。loader 解析 URL 链接以下载木马程序并执行。 + 独立加密方式 - 加密的 RAW：与 SCByFile loader 配合使用，将 stage 木马程序加密为一个新文件。loader 使用该文件作为参数运行，解析木马代码并执行 stage 木马。 - 加密的 URL：与 SCByFile loader 配合使用，将 stageless 木马的 URL 加密加载到一个新文件中。loader 使用该文件作为参数运行，下载 stageless 木马并执行。 - **注意** + 目前尚未实现花指令、编译器混淆和 API hooking 等技术。 # 免杀能力说明 + **1. 任意程序捆绑器** - 当前状态：免杀效果最差。 - 改进方向：可以加入混淆指令，将木马程序插入到程序的空闲区域，设置 OEP 指向原始程序，并通过硬编码跳转或 API hooking 触发执行。 + **2. Loader 捆绑** - Stage 捆绑 + 当前状态：免杀效果较差。 + 改进方向：无。 - URL 捆绑 + 当前状态：免杀效果中等。 + 改进方向：无。 + **3. 独立加密方式** - 加密的 RAW + 当前状态：能够规避主流杀毒软件的查杀。 + 改进方向：引入 Hellgate 及类似技术。 - 加密的 URL + 当前状态：能够规避主流杀毒软件的查杀。 + 改进方向：引入 Hellgate 及类似技术。 **good luck！~**

标签：Cobalt Strike, Conpot, DNS 反向解析, DNS 解析, Loader, PE文件修改, RAT, Shellcode加载, Stealer, UML, Windows安全, 云资产清单, 免杀工具, 免杀研究, 内联Hook, 加壳, 加密打包, 后门, 恶意软件, 攻击诱捕, 木马生成器, 混淆, 端点可见性, 绕过AV, 绕过 Defender, 绕过杀软, 网络信息收集, 网络安全, 逆向工程, 隐私保护