推荐|免杀马生成工具

工具介绍

Golang免杀马生成工具，在重复造轮子的基础上尽可能多一点自己的东西，最重要的loader部分参考其他作者。

相较其他免杀工具具备以下优势:

使用fyne的GUI界面，不算难看，简单易懂，还有个炫酷的进度条！wakuwaku(^▽^)
可自定义多种反沙箱，其中检查微信的适合钓鱼
可自定义多种编译选项，支持garble编译环境
分离免杀(本地/HTTP)
支持打包PE文件（如mimikatz）
支持窃取数字签名
伪造微软其他软件添加icon和versioninfo

在生成免杀马之前请注意以下四件事

确保安装Golang且环境变量中包含go否则无法编译
请在当前目录先执行go env -w GO111MODULE=on然后go mod download命令下载依赖
生成木马时需将杀软关闭，go产生的中间文件会被查杀
如果下载依赖过慢配置镜像go env -w GOPROXY=https://mirrors.aliyun.com/goproxy。国内用户建议配置。

使用方法

1.  后缀支持bin/exe/dll，可输入绝对路径或相对路径或点击按钮选择。默认beacon.bin。（必选）

2.  生成木马的名称。默认result.exe。（必选）

3.  选择shellcode加密算法（必选）

4.  选择loader（必选）

5.  本地分离免杀，可输入绝对路径或相对路径，但生成的文件（默认code.txt）是固定在当前目录生成，木马会去读取目标路径下的分离shellcode

6.  远程分离免杀，木马去请求网络地址下载shellcode，加密的shellcode为当前目录的code.txt

7.  伪造数字签名，选择一个具有签名的微软文件，如MSbuild.exe等。

8.  反沙箱

9.  编译选项

常见问题

勾选garble编译时闪退：想勾选garble编译的需提前安装好garble，怕被说留后门啥的所以我这边不提供这种第三方的工具。

 https://github.com/burrowers/garble
 

安装命令很简单go install mvdan.cc/garble@latest，不放心的可以去点进garble的github自己安装！

32位/64位问题：该框架生成的木马是go编译的，所以arch也是go的编译环境决定的，默认安装的会根据自身系统的arch来，命令行输入go env | findstr GOARCH可以查看。

32位的免杀效果实在太拉，个人实战中遇到非要32位的系统也不多，所以之前没有提，实在需要32位的输入set GOARCH=386可以生成32位的木马，64位：set GOARCH=amd64 。

免杀效果

很多大佬都根据同个优秀的loader写了一些框架，目前啥选项都不配置有越来越多的杀软可以查杀，基本不能使用。

建议使用分离shellcode，技术简单但效果好。

写了一个能过DF的增强功能暂不放出。

另heapalloc的效果好一点。

sgn加密疑似已被提取特征，被WD和360拉黑了。

自测下来开启一些选项还是能免360和WD，希望各位大佬测试的时候关闭360和WD的自动上传样本功能，测试环境测，不要直接拖到VT上，火绒断网测就OK。

下载地址

https://github.com/piiperxyz/AniYa