前言

不做马喽，从我做起，一款基于Tauri+Rust的免杀马生成工具，MaLoader配置环境+使用

免责声明

• 仅限用于技术研究和获得正式授权的攻防项目，请使用者遵守《中华人民共和国网络安全法》，切勿用于任何非法活动，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任！

• 为了保证免杀持久性，暂不进行开源，测试尽量通过本地断网环境，避免多次上传沙箱。

• 自开发程序无后门，不放心可移至虚拟机使用！

下载地址在文末

往期推荐

环境依赖

安装rust

首先需要安装rust，rust官网地址：

https://www.rust-lang.org/tools/install

修改cargo源

需要修改cargo源，创建文件 C:Users用户名.cargoconfig.toml，也可以修改为其他源，这里给出清华源和中科大源

[source.crates-io]
replace-with = 'rsproxy-sparse'
[source.rsproxy]
registry = "https://rsproxy.cn/crates.io-index"
[source.rsproxy-sparse]
registry = "sparse+https://rsproxy.cn/index/"
[registries.rsproxy]
index = "https://rsproxy.cn/crates.io-index"


# 清华⼤学
[source.tuna]
registry = "https://mirrors.tuna.tsinghua.edu.cn/git/crates.io-index.git"

# 中国科学技术⼤学
[source.ustc]
registry = "git://mirrors.ustc.edu.cn/crates.io-index"

安装msvc

最后，需要安装msvc

安装msvc的编译环境

1. 下载 Visual Studio Installerhttps://visualstudio.microsoft.com/zh-hans/downloads/

2. 然后运行后安装MSVC工具链即可

使用方法

windows7/server以上

对于windows7/server以上的系统，可以正常使用，windows7/server及以下的系统需要安装依赖

这里由于打包后的exe过大，故使用了upx加壳，release中的app.exe 是原版的应用，如果不太放心的师傅可以放在虚拟机中运行，因为考虑到免杀性需求，部分代码暂未开源。公开过不了多久就不免杀了，所以测试时也建议师傅们离线进行测试

1. 首次运行后会在当前目录下生成history.json文件用于保存历史记录，bundle和static目录下放置的是默认的捆绑文件与图标，注意：删除后会影响默认配置的生成，当前支持三种加载方式，点击生成后会默认在当前目录下生成对应的木马和需要分离加载的beacon

2. bundle和static目录下放的是内置一些文件，注意：更改后会默认选项的生成，师傅们也可以从本地自行选择文件进行加载，点击生成后会保存历史记录到history.jso文件里面，下次打开时即可直接选用相应选项

3. console选项开启后，beacon文件运行时会开启cmd窗口

4. tools目录下，MSBbuild.exe文件是内置的微软签名文件，rcedit.exe文件用于添加文件信息，sigthief.exe文件是打包好的sigthief.py文件，SharpIncrease.exe文件可用于某些情况下膨胀文件体积用于bypassqvm，注意：删除或更换名称也会影响内置选项

5. 选择绑定文件后，默认会在当前目录生成绑定的文件

6. 配置选择中的终端杀软情况和终端操作系统，是笔者个人针对不同杀软测试禁用了一些选项，因环境变化，结果可能不准确，具体的免杀性可自行测试，这里仅供参考

7. 反沙箱这里出口IP用的是Github和微步上收集的一些微步沙箱的出口地址，常用软件检测的是：微信、企业微信、钉钉

对于windows7/server

对于win7及以下的系统需要安装nightly版本的rust进行编译，复杂语句运行即可

rustup install nightly-2023-12-14-x86_64-pc-windows-msvc
rustup default nightly-2023-12-14-x86_64-pc-windows-msvc

这里同时需要在C:Users用户名.cargoconfig.toml中，添加如下代码

[target.'cfg(all(windows, target_env = "msvc"))'] rustflags = [ "-C", "target-feature=+crt-static", "-C", "link-arg=-Wl,-Bstatic", "-C", "link-arg=-Wl,-Bdynamic", ]

由于rust版本库支持的原因，部分反沙箱和调试的功能与部分加载方式，在win7或者windows sever上无法正常运行，推荐使用如下配置生成木马，笔者自行测试在win7和server上均可正常运行。

免杀效果

微步

defender

实测defender会检测uuid的加载方式，实战遇到defender可以换其他类型的加密方式

火绒

实测几种加密方式和加载方式均可上线

360核晶

qvm极其不稳定，如果遇到360报毒qvm，可尝试更换签名与图标或者优先使用UUID和MAC加密，或使用tools/SharpIncrease.exe进行文件膨胀

SIncrease.exe -D target.exe -S 4 -O output.exe

卡巴斯基免费版

内存查杀可以配合Arsenal Kit进行beacon二开

后台回复：20241216 获取下载地址

适合想走渗透和红队方向的师傅，含金量比国内的高了不少。如果和我一样学历不太好的师傅，凭借这个可以抹平211的学历差距，感兴趣的师傅可以扫描加我微信，保证全网最低价oscp+的培训，而且是7年红队经验，红队队长带领培训

可以关注一下关注公众号，里面有大量的工具和课程免费提供

可以加入一下我们的帮会，是真正的红队大佬创建的，里面会定时丢些网上没有的工具（比如安卓远控7.4，不过现在已经删除了，有时限，加入的记得看好时间），除了这个：还有大量的poc、渗透工具、渗透课程、实战案例等等。现在只要99就可以终身，后面人多了就会涨价了

大量的课程和工具

一些工具，二开的网恋避险工具（不清楚的可以去搜一下，黑客网络避险工具）

还有大量内部整理POC合集

我们红队全栈公益课链接：https://space.bilibili.com/350329294