一款超级无敌大黑客都在使用的免杀生成

项目地址

https://github.com/lv183037/MaLoader

环境依赖

安装rust

修改cargo源

[source.crates-io]replace-with = 'rsproxy-sparse'[source.rsproxy]registry = "https://rsproxy.cn/crates.io-index"[source.rsproxy-sparse]registry = "sparse+https://rsproxy.cn/index/"[registries.rsproxy]index = "https://rsproxy.cn/crates.io-index"# 清华⼤学[source.tuna]registry = "https://mirrors.tuna.tsinghua.edu.cn/git/crates.io-index.git"# 中国科学技术⼤学[source.ustc]registry = "git://mirrors.ustc.edu.cn/crates.io-index"

安装msvc

下载 Visual Studio Installer https://visualstudio.microsoft.com/zh-hans/downloads/

运行后安装MSVC工具链即可

使用方法 由于打包后的exe过大，故使用了upx加壳，release中的app.exe 是原版的应用，不放心的师傅可以放在虚拟机中运行，因考虑到免杀性需求，部分代码暂未开源。 首次运行后会在当前目录下生成history.json文件用于保存历史记录，bundle和static目录下放置的是默认的捆绑文件与图标，删除后会影响默认配置的生成，当前支持三种加载方式，点击生成后会默认在当前目录下生成对应的木马和需要分离加载的beacon。 bundle和static目录下放的是内置一些文件，更改后会默认选项的生成，也可以从本地自行选择文件进行加载，点击生成后会保存历史记录到history.jso文件，下次打开时可直接选用相应选项。 console选项开启后，beacon运行时会开启cmd窗口。 tools目录下，MSBbuild.exe是内置的微软签名文件，rcedit.exe用于添加文件信息，sigthief.exe是打包好的sigthief.py文件，SharpIncrease.exe可用于某些情况下膨胀文件体积用于bypassqvm，删除或更换名称也会影响内置选项。 选择绑定文件后，默认会在当前目录生成绑定的文件。 配置选择中的终端杀软情况和终端操作系统，是笔者个人针对不同杀软测试禁用了一些选项，结果可能不准确，具体免杀性可自行测试，这里仅供参考。 反沙箱这里出口IP用的是Github和微步上收集的一些微步沙箱的出口地址，常用软件检测的是微信、企业微信、钉钉。 windows7/server

rustup install nightly-2023-12-14-x86_64-pc-windows-msvcrustup default nightly-2023-12-14-x86_64-pc-windows-msvc

同时需要在C:Users用户名.cargoconfig.toml中，添加如下代码

[target.'cfg(all(windows, target_env = "msvc"))']rustflags = ["-C","target-feature=+crt-static","-C","link-arg=-Wl,-Bstatic","-C","link-arg=-Wl,-Bdynamic",]

由于rust版本库支持的原因，部分反沙箱和调试的功能与部分加载方式，在win7或者windows sever上无法正常运行，推荐使用如下配置生成木马，笔者自行测试在win7和server上均可正常运行。

免杀效果

defender  辩护人

火绒 实测几种加密方式和加载方式均可上线

360核晶 SIncrease.exe -D target.exe -S 4 -O output.exe

卡巴斯基免费版 内存查杀可以配合Arsenal Kit进行beacon二开

原文链接:https://github.com/lv183037/MaLoader?tab=readme-ov-file