该工具集成了C/C++ 、C# 、nim 、PowerShell的免杀加载器
$请点个star支持一下作者,后续会持续更新
[+]2022-4-27:
加载模块:nim、powershell,可免杀卡巴斯基,windows defender ,360,火绒
[+]2022-5-18:
1.添加C/C++加载模块,可免杀windows defender 、360、火绒
2.添加了套接字模块,Nim socket实现跨平台,并且免杀主流杀软
[+]2022-6-3改动:
1.添加了文件格式转换模块,并且ps1转vbs、ps1转exe皆可绕过windows defender
2.删除了nim加载模块,添加了Csharp加载模块(降低了免杀的效果)
3.解决了csharp的版本兼容性(可以同时在win7、服务器win2008以上的windows版本同时运行)
运行环境:windows10
1.C/C++编译环境: 安装mingw,GCC/G++编译器,并且配置环境变量
输入G++,GCC 出现以下情况说明环境安装成功
2.C#编译环境: Windows自带C#编译器(csc.exe)
3.Nim编译环境: 如果要使用Nim Lang的套接字还是需要安装Nim环境和Winim的第三方库,最后配置环境变量
输入nim -version查看是否安装成功
启动程序
python.exe .\Gllloader.py
1.C/C++加载器特点:随机化系统调用函数名称和XOR动态密钥使得每次生成的二进制文件硬编码数据不同,让杀软难以捕获特征。
2.Powershell和C#shellcode加载特点:AMSI内存初始化失败,绕过AMSI的runtime和scantime后记载二进制文件以防止杀软对恶意进程的系统监控
3.文件转换格式的使用方式也是大同小异,都是将powershellbase64加密解密然后分离,最后输入网址即可自动化生成VBS和exe文件
4.套接字模块,输入IP和端口即可自动化生成文件,这里生成Nim的套接字是跨平台的可以在任意的windows、Linux、unix上运行
注意这里请使用stageless的shellcode(beacon.bin)
用CobaltStrike/MSF生成一个StagerLess的PowerShell脚本,用Base64加密解密一下脚本,或者用Obfuscation去混淆一下,将powershell脚本作分离处理
将分离过的网址填入即可。(这边需要填一下.NET的版本,问题不大)
新版本的加载器降低了免杀的效果,但是过国内、微软还是轻轻松松的
[!]注意:不要讲样本上传至VT、weibu等公网沙箱,他们会分享样本给厂商。本项目仅用作免杀思路的学习,为了保持它的免杀效果,请不要将他滥用。谢谢!
拥有更多免杀模块,更多的功能,免杀更多的杀软,支持多语言远控FUD加密
视频教程:https://www.bilibili.com/video/BV1HS4y1a7gu/ 我的个人学习频道:Blibli搜索 我不是格林
Jthuraisamy 的SysWhispers:https ://github.com/jthuraisamy/SysWhispers
OutFlank 用于创建 InlineWhispers(Mingw-w64 兼容 SysWhispers):https ://github.com/outflanknl/InlineWhispers
FalconForceTeam 支持 SysWhispers2 的系统调用生成工具:https ://github.com/FalconForceTeam/SysWhispers2BOF
Snovvcrash 用于他们的 NimHollow 项目,我将其用作流程空心化的模板:https ://github.com/snovvcrash/NimHollow
Snovvcrash 我将其用作许多包含的注入技术的模板:https ://github.com/snovvcrash/DInjector