引言
这个本来是为某大型活动准备的,经过实战测试,效果还行,实战中即使用户电脑存在杀软进程,cs也能稳定上线。现在活动结束,平时基本也用不上了,所以分享出来以供技术交流(本着能用就行的原则没来得及重构,项目结构有点乱)
github地址:
https://github.com/shellfeel/Ant-AntV
环境要求:
里面有使用一些高版本python的语法,所以最好使用最新版本的python3
使用方法:
- 执行pip install -r requirements
- 将cs、msf生成的shellcode命名成
beacon.bin放到当前bean_raw路径下 - 如需给程序加上icon,可以将icon命名成
mail_update.icon(可修改gen_trojan.py 48行形参out_file_name 来更改,这个参数本身也是生成的程序名)放入resource目录 - 执行
gen_trojan.py脚本
优缺点
特点:
- 使用了随机密钥(混淆加密、shellcode加密),所以每次生成的程序都是全新的(千人千面,钓鱼时可以给每个对象都生成不一样的程序),避免被杀软散列标记导致全部失效。
- 一点点的反沙箱逻辑。
- 一点点的混淆
- win下一点点的upx压缩。
缺点:
太大,生成的程序近10m。
免杀效果:
杀软病毒库情况
各杀软都是最新版(2022/8/18)
静态免杀效果
360
火绒
腾讯电脑管家
windows defender
动态免杀效果
cs上线效果
VT沙箱效果图
VT效果不是很好(10/71),但并不影响实际使用。
提示
- 如果生成的马因为太敏感的操作而被标记,执行脚本重新生成即可
- 免杀存在有效期,可能你看到的时候已经不免杀了也很正常。