正文

零检测!史上最强Shellcode自解密免杀编码器实战

admin
admin V管理员 /0 评论 /72 阅读
0907
此篇文章发布距今已超过20天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!

工具介绍

SGN 是一种多态二进制编码器,用于攻击性安全目的,例如生成静态不可检测的二进制有效载荷。它使用加性反馈循环对给定的二进制指令进行编码,类似于 LSFR。

工具优点

对于进攻性安全社区来说,shikata ga nai 编码器的原始实现被认为是最好的 shellcode 编码器(到目前为止)。但多年来,安全研究人员发现了静态测试编码器的几个陷阱(相关工作 FireEye 文章)。

https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html

该项目的主要动机是创建一个更好的编码器,将给定的二进制文件编码到与完全随机数据相同的程度,并且无法检测到解码器的存在。在 keystone 汇编器库的帮助下,实现了以下改进。

1. 64 位支持。Finally properly encoded x64 shellcodes !2. 新的更小的解码器存根。LFSR key reduced to 1 byte3. 具有伪随机架构的编码存根。Decoder stub is also encoded with a psudo random schema4. 无可见的循环条件Stub decodes itself WITHOUT using any loop conditions !!5. Decoder stub 混淆。Random garbage instruction generator added with keystone6. 安全注册选项。Non of the registers are clobbered (optional preable, may reduce polimorphism)

工具使用

-h 可以获取程序的帮助信息,常用混淆命令如下:

sgn.exe -i payload_x64.bin -c 1 -M 1  -o sgn.bin
       __   _ __        __                               _   ___ / /  (_) /_____ _/____ _  ___ ____ _  ___  ___ _(_) (_-</ _ / /  '_/ _ `/ __/ _ `/ _ `/ _ `/ / _ / _ `/___/_//_/_/_/_\_,_/__/_,_/  _/_,_/ /_//_/_,_/_/  ========[Author:-Ege-Balcı-]====/___/=======v2.0.1=========      ┻━┻ ︵ヽ(`Д´)ノ︵ ┻━┻           (ノ ゜Д゜)ノ ︵ 仕方がないUsage: sgnFlags:  -h, --help               Show context-sensitive help.  -i, --input=STRING       Input binary path  -o, --out=STRING         Encoded output binary name  -a, --arch=64            Binary architecture (32/64)  -c, --enc=1              Number of times to encode the binary (increases overall size)  -M, --max=50             Maximum number of bytes for decoder obfuscation      --plain              Do not encode the decoder stub      --ascii              Generates a full ASCI printable payload (may take very long time to bruteforce)  -S, --safe               Preserve all register values (a.k.a. no clobber)      --badchars=STRING    Don't use specified bad characters given in hex format (x00x01x02...)  -v, --verbose            Verbose mode      --version

相关地址

关注微信公众号后台回复“入群”,即可进入星落安全交流群!
关注微信公众号后台回复“20250829”,即可获取项目下载地址!

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 部分免杀项目源代码

  • 星落安全内部免杀工具箱1.0

  • CobaltStrike4.9.1星落专版1.4

  • 一键击溃windows defender

  • 一键击溃火绒进程

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满800人,价格由208元调整为218元(交个朋友啦),900名以后涨价至268元。同时开启续费79折优惠。

往期推荐

1.

2.

3.

4. 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网