免杀之：C# XOR Shellcode

• 免杀之：C# XOR Shellcode
  • 1 环境准备
  • 2 制作Shellcode后门文件
    • 2.1 编译环境准备
    • 2.2 生成XORKryptor程序

1 环境准备

1. antman1p/ShellCodeRunner: XOR Payload Encryptor for .NET and Payload Runner with Built-in XOR Decryptor (github.com)
2. VS2019

2 制作Shellcode后门文件

2.1 编译环境准备

1. 使用VS2019打开ShellCodeRunner文件夹中的ShellCodeRunner.sln文件

2. 配置ShellCodeRunner、XORKryptor项目文件使用.net4.5框架：

   

3. 在ShellCodeRunner、XORKryptor项目的Program.cs文件中，自定义加密密码：默认的密码会被杀软查杀。注意：密码要一致。

   

2.2 生成XORKryptor程序

1. 右键XORKryptor项目，选择生成：ShellCodeRunner.exe

2. 生成CS生成raw格式的Payload文件：payload.bin

3. 将payload.bin复制到ShellCodeRunner.exe目录下：\ShellCodeRunner\XORKryptor\bin\Debug

4. 在当前目录下打开cmd，运行以下命令，生成文件：encrypt.bin

   ShellCodeRunner.exe payload.bin
   

   

5. ShellCodeRunner项目里存在Resources目录和encrypt.bin文件，但实际上项目里并没有。因此需要删除Resources目录并新建该目录，并将步骤4生成的encrypt.bin，放入到Resources目录下。

6. 右键ShellCodeRunner项目，选择生成。ShellCodeRunner\ShellCodeRunner\obj\Debug目录中生成的ShellCodeRunner.exe，便是生成好的后门。

7. 过360。