Skip to content
/ ShellcodeLoader Public

将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术。

523 stars 79 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

Hzllaga/ShellcodeLoader

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

8 Commits
ShellcodeLoader
ShellcodeLoader
 
 
.gitattributes
.gitattributes
 
 
ReadMe.md
ReadMe.md
 
 
ShellcodeLoader.sln
ShellcodeLoader.sln
 
 

Repository files navigation

ShellcodeLoader

将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术。

如果要用 .NET 2.0编译请手动编译,csc不支持某些代码

反沙箱

  • 判断父进程是否为Debugger

  • 判断时间是否加速

一般沙盘内的程序时间都会加速。

  • 判断进程是否有黑名单

判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。

  • 判断MAC地址是否有黑名单

判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单列表。

  • 判断系统盘是否大于50GB

一个正常PC的系统盘都会大于50GB。

使用

General:

运行生成的exe文件

Argument:

程序会保存加密好的数据到Output.txt

shellcode.exe "私钥" "加密shellcode"

更新

20200709:

  • 新增x86远程注入(直接复制CACTUSTORCH的)

已知问题

  • 远程注入动态编译在win2008运行失败,请复制程序目录下code.txt 到vs编译就可以运行了。

截图

VirusTotal(12/72):

圖片

常见的360、电脑管家、微软、卡巴斯基等都轻松免杀。

哈勃(未发现风险):

圖片

Hybrid Analysis(35/100):

圖片

程序:

圖片

参考

.NET for C# - RSA分段加解密

GhostShell

CACTUSTORCH

About

将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术。

Resources

Readme
Activity

Stars

523 stars

Watchers

10 watching

Forks

79 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages