2019年，道别了coder的全球，道别了过去的日常生活。我打算临时撇开金钱主义的价值取向，以一个Fucking loser的真实身份寻找人生道路中的三大哲学基本问题，我从哪里来，我在哪儿，我还在干什么。褪掉了it行业的勾心斗角，轻佻飘渺。在这个遮天盖地的娱乐产业时期，我打算看一看海洋，去体会下海面的味儿，没有错，它的确是咸的。当沙滩上的碎石子布满全身上下的那一刻，我，有着了数分钟儿时。在中途，巧遇了大河，没有错，它的确很黄，而且波澜壮阔。也在这里中途，缘份使我进入了以前道别的安全性领域。

在wiki百科中那样表述道：在黑客入侵中，shellcode是一小段代码，用以利用手机软件系统漏洞做为重力梯度。它往往被称作“shellcode”，是由于它一般运行一个指令shell，网络攻击能够从这一指令shell操纵损伤的电子计算机，可是实行相近每日任务的一切代码都能够被称作shellcode。由于重力梯度（payload）的作用不但仅限于转化成shell，因此有的人觉得shellcode的名字是不足认真细致的。殊不知，尝试替代这一专业术语的勤奋并沒有获得普遍的接纳。shellcode一般是用序列号撰写的。

汉语翻译成年人话便是：shellcode是一段序列号，用以实行一些姿势。

在百科中那样表述道：电子计算机立即应用的编程语言，其句子便是机器指令码，机器指令码是用以指引电子计算机应做的实际操作和操作数详细地址的一组二进制数。

汉语翻译成年人话便是：立即指引电子计算机的机器指令码。

大家用助记符号替代机器指令码进而产生了汇编程序，之后为了更好地使计算机用户程序编程更非常容易，发展趋势出了各种各样高级计算机语言表达。可是，不论是汇编程序還是别的各种各样面向对象方法异或运算面向对象编程的高級文学语言写的代码最后都需要被有关的汉语翻译编译程序自然环境转化成相对的机器指令码，电子计算机才可以运作此段代码，由于电子计算机只了解机器指令码。

人话：shellcode loader 是用以载入和运作shellcode的代码。

C/C 载入方式

Python 载入方式

自然，shellcode loader的撰写方式许多，选编，go，csharp及其别的许多语言表达，这儿没有一一举例说明，下面大家进到利用python语言表达撰写 shellcode loader 以做到静态数据动态性都绕开杀毒软件的目地。

python语言表达新手入门门坎低，上手简单，且两三年前就发生了这类免杀方式，可是很多人说在网上公布的代码早已不免杀了。客观事实确实这般吗？你有没有静下来code过，是不是去掌握过有关的基本原理，是不是通过学习到的基本原理去思维发散过，是不是根据code去fuzz过？要是没有，你的Cobaltstrike和Metasploit只合适躺在那里淫邪，怪我咯。废话不多说，进到主题。

1、python-2.7.17.amd64

下载链接：

2、pywin32-227.win-amd64-py2.7

下载链接：

3、PyInstaller3.0

下载链接：

4、简要说明：

这一套自然环境配搭就是我历经持续的试验和本人爱好小结出去的，安裝方式没有累述，假如你连这一点自学能力也没有话，你還是让Cobaltstrike和Metasploit躺在那里淫邪吧。本人提议：第一：不必应用pip方式安裝PyInstaller，对于为何，你多试着几回就了解各种各样兼容自然环境是有多麻烦了。第二：假如你该设备还安裝了python3的自然环境，假如你嫌麻烦，你能独立在vm虚拟机里边安裝这一自然环境，由于python3和python2并存，你要得折腾一会儿，里边的坑也有 pip2 pip3得区别开这些。想要折腾的强烈推荐下边2~3篇文章内容作为参照

1、：shellcode字符串数组 不做硬编码（人话：shellcode字符串数组不写死在代码里边）

2、：shellcode字符串数组 多种多样编号方式搞混

3、：shellcode字符串数组 数据加密

4、：加上无伤害的代码实行步骤搅乱av剖析（前些年的花指令免杀逻辑思维）

5、：CobaltStrike转化成的shellcode是一段下载者，关键作用是免费下载becon.dll，随后载入进运行内存，许多作用都是在bencon里边，所以说cs的shellcode实际上不具有是多少风险姿势的，可是它怎么会被电脑杀毒软件查杀呢，那是由于电脑杀毒软件利用一些优化算法比如模糊不清hash算法（Fuzzy Hashing）获取出来机器码。

6：CobaltStrike本身是用的管路开展进程通信。

现阶段的防病毒软件防护软件，普遍有三种，一种根据特点，一种根据个人行为，一种根据云查杀。云查杀的特性基础还可以归纳为特点查杀。

依据我fuzz得到的结果：动态性个人行为查杀确实难过么？回答是否认的：CobaltStrike的管路通讯方式再加上将花指令免杀逻辑思维应用在程序设计语言方面上一样合理，人话便是在shellcode loader的代码方面加一些一切正常的代码，让exe自身有着一切正常的姿势，搅乱av的分辨，自然这一的前提条件是由于大家立在了CobaltStrike的管路通讯方式的优点上。静态数据查杀好过么？回答是：好过，shellcode不落地式 CobaltStrike自身的管路通讯方式 shellcode字符串数组各种各样组成的编号 数据加密。云查杀的特性等于特点查杀，好过。

小结：文中所论述的粗略地且粗浅的免杀方式 全是立在CobaltStrike强劲的肩部上完成的。

1、不特定标志的编译程序方式

python2 PyInstaller.py --noconsole --onefile cscs.py

2、特定标志的编译程序方式

python2 PyInstaller.py --noconsole --icon csicon.ico --onefile cscs.py

【win10标准版 windows defender】【win7 商业版 360套餐 qq电脑管家】【微步云沙箱】【virustotal.com】

virustotal.com的检验率尽管不太开朗，可是针对中国来讲，也可以达到日常要求了。

在win7商业版上 360套餐 qq电脑管家所有升级到全新的状况下检测

Cobalt Strike取得成功发布，且360 qq电脑管家沒有一切阻拦或是提醒的个人行为

自然这全是不起作用的，下面看一下应用cs的作用时，会怎么样

1、logonpasswords

一切正常，且杀毒软件沒有一切阻拦与提醒

2、查看进程目录

3、屏幕截屏

自然，这全是些不起作用的，下面，来个刺激性的。

4、ms17010

ms17010打得也顺畅。且360套餐 qq电脑管家沒有一切阻拦 提醒。

5、连动Metasploit

win10标准版 windows denfender

到这里了才可以说，嗯，还阔以。

另附一张以前检测时忘记了更换vps的ip以后的事儿。。。

因为大家提交了微步云沙箱及其virustotal.com，样版便会被各种杀毒软件生产厂家拿来剖析，提炼机器码，及其科学研究防御力姿态，因此提议大伙儿检测的情况下自身搭vm虚拟机测试吧，要不然你的vps就得换了（ip详细地址会被标识），并且自身fuzz出去的姿态迅速便会被提炼机器码。那为何我愿 show you the code呢？由于即使公布的代码被获取了机器码，自身再修改也不杀了啊，就那么简易。

此类方式的缺陷：单文件容积过大，go语言表达较为小，veil里边有应用go开展免杀的，单文件容积在800kb上下，假如你学过go的英语的语法，提议你利用go语言表达来免杀，具体步骤，你能在应用veil时，把它转化成的go源代码拿出来，融合文中所谈及或是别的姿态散发你的逻辑思维，也可以作出非常好的实际效果。自然我首荐：C/C

实际操作优选合天网安试验室，今日强烈推荐试验：《Shellcode编写练习》，拷贝下边连接做测验！