手工打造Windows下编译的免杀Payload(2) - APT防御产品

手工打造Windows下编译的免杀Payload(2)

整理后:

因上面的代码是使用GNU/GCC来编译的,所以在windows下直接使用vc6编译会报一大堆错误。没办法,拿起大学时代那本《C语言程序设计与应用教程》回顾了半天,修改代码,最终通过编译。
2.jpg
编译后体积185kb(可加壳缩小体积),虽然比metasploit生成的要大,但已经满足要求。
使用同样的方法,依次还原了c_rev_http_service、c_rev_tcp、c_rev_tcp_service、cs_rev_http、cs_rev_https、cs_rev_tcp的源码(powershell和ruby的还没有看)。
编译生成对应的payload比较一下体积并测试免杀和连接效果:
体积对比:
5.jpg

可见C#代码编译后的Payload更小,竟然只有5kb…… cs_rev_tcp使用了三个不同版本的.NET csc编译。
免杀效果:(360安全卫士最新木马库查杀)
6.jpg
7.jpg
连接测试:

c_rev_tcp

7.jpg

c_rev_http

8.jpg

cs_rev_tcp

9.jpg

cs_rev_http

10.jpg

cs_rev_https

11.jpg



转载请注明出处 APT防御产品 » 手工打造Windows下编译的免杀Payload(2)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址