从剖析CS木马生成到开发免杀工具

shellcode生成完成后，回到原点，可以看到根据用户的选择，对不同的artifact模板进行patch，以x86的模板为例。

继续跟进patchArtifact

common\BaseArtifactUtils.class

稍微看一下fixChecksum，是通过PE编辑器修复了校验码。

这里不赘述了，对编辑器实现感兴趣的可以去看看pe\PEEditor.class

注意看这里this._patchArtifact(array, s)，调用了同名方法，PS：差点以为在看Python

读取了resources文件夹下的artifact32.exe作为模板文件，根据重复的1024个A来定位shellcode位置。

与生成shellcode时类似，使用common/CommonUtils.replaceAt()对bytes流转为的字符串进行编辑替换。

使用16进制编辑器可以直接看到用于标志存放shellcode的位置。

值得一提的是，替换shellcode之后的pe文件，因为shellcode长度没有完全覆盖到标识的1024个A，一般生成的exe都会残留部分字符，当然这并不会影响shellcode的执行。

利用加载器远程回连获取下一阶段payload加载到内存中执行以规避杀软的探测，这种VirtualAlloc到WriteProcessMemory的分配内存模式早已被众多远控木马软件广泛利用。

CS开发者在其最新的介绍视频中披露了部分artifact的源码，并演示了如何通过修改加载器绕过了Defender的查杀。

他通过用HeapAlloc来代替VitualAlloc，躲避了大部分的杀软。

在这个基础上，我们添加了对shellcode进行异或加密的功能，显然一个非常精简的基于c++的shellcode加载器就成形了。

然后参考CS的方式，在本应放置shellcode的buf中，置入大量重复的占位符作为定位。

python -c "print(1024*'A')"

用VisualStudio或MingW将其编译为template.exe。

开发免杀小工具