01 插件安装

本篇免杀为Cobalt Strike安装插件后bypass 国内杀软。

插件下载地址：

https://github.com/fengziHK/bypass_go

1.1 Cobalt Strike导入插件

如下图直接导入：

你会发现攻击那里多出一个bypass的模块

02 免杀火绒

Cobalt Strike生成一个64位的payload

生成的shellcode文件

打开你刚才生成是shellcode 文件 你会发现出现以下内容

在你下载的Bypass_Go-main目录执行cmd操作命令

2.2 生成code.txt

process_shellcode.exe + shellcode.txt里的payload

完成上面的步骤之后接着 生成(k1 k2).txt

将你生成的3个txt放到kali当中，并用python搭建一个微服务

修改shellcode_loader.go的配置信息，变成远程加载shellcode

cmd 里面运行以下命令进行编译（需要有go的环境变量否则报错）

go build -ldflags "-H windowsgui" shellcode_loader.go

编译完成后会生成一个exe文件 （火绒之前是报毒的，但是升级病毒库之后又不报了）

火绒下上线(这里只是在火绒的主机上线 静态和动态都过了)

03  加壳免杀360

以上方法生成的exe文件，360直接报毒

那么如何过360呢？

这里采用了加壳的方式过360和火绒！

一开始我的思路是编码混淆，发现不行之后使用加壳，upx确实可以过火绒，但是过不了360，按照往常的经验来分析：upx应该是被360拉黑了。

这里也试过掩日+upx，但是火绒会直接查杀。

于是我想到了另外一个加壳软件safe

用法很简单将你的exe 拖入之后就可以了 （这里选择默认加壳模式就行了，当然如果懂汇编的师傅可以尝试一下其它的选项）

加壳后查杀，360不杀，到此位置该方法可过360+火绒，但目前无法过红伞和卡巴（已测试）

动态执行可上线

04  总结

通过go编译后加壳可过国内主流杀软，但是缺点也很明显：bypass之后的文件有点大 。

在加壳的时候，最先测试的是掩日，后来是upx，但是这些都被360或是火绒查杀，最后测试到了safe的时候，发现免杀成功。

免杀上线之后，配合梼杌进行提权，效果也是不错的。