shellcode免杀工具Go

该工具是由Arks7使用Go语言开发的一个免杀生成器模板，目前可以过国内主流杀毒。
GitHub地址：
https://github.com/Arks7/Go_Bypass

使用CobaltStrike生成payload，输出格式为Raw，4.3版本需要勾选X64，如图：

将生成的文件放在Go_Bypass项目目录下，然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理，否则编译报错。然后运行go run main.go，使用默认配置一路回车即可，这里自己指定了密码，没使用默认密码，如图：

在bin目录下生产木马，使用火绒扫描未发现问题，如图：

运行之后火绒未拦截，成功上线，如图：

使用Defender扫描未发现问题，如图：

使用卡巴斯基免费版扫描未发现问题，如图：

使用360全家桶扫描未发现问题，如图：

由于作者增加了反沙箱功能，因此在把虚拟机内存设置为8G，CPU设置为4核时，运行之后成功上线，如图：

但是由于beacon自动进行权限维持导致添加计划任务 *** 作被360、Defender、卡巴斯基进行了拦截，除了火绒，如图：



VirusTotal检出率为11/69，如图：

微步云沙箱检出率为2/25，如图：

参考Cobalt Strike修改特征修改证书后，运行一段时间被发现，如图：

可以绕过360、Defender、火绒，但是好像无法绕过天擎，如图：