项目地址：

https://github.com/icyguider/Nimcrypt2

Nimcrypt2是另一个旨在绕过AV/EDR的PE打包程序/加载程序。这是对我最初的Nimcrypt项目的改进，主要改进是使用直接系统调用和加载常规PE文件以及原始 shellcode的能力。

特征：

• NtQueueApcThread执行带有PPID欺骗和第3方DLL阻塞的Shellcode

• 系统调用名称随机化

• 能够加载 .NET 和常规 PE 文件

• 具有动态密钥生成的AES加密

• 沙盒规避

测试过的系统：

• Windows 11 (10.0.22000)
  

• Windows 10 21H2 (10.0.19044)

• Windows 10 21H1 (10.0.19043)

• Windows 10 20H2 (10.0.19042)

• Windows 10 19H2 (10.0.18363)

• Windows Server 2019 (10.0.17763)

安装依赖和编译：

Nimcrypt2是在Linux系统下用Nim设计的。在安装Nim之前，您必须确保通过包管理器安装了以下包

sudo apt install gcc mingw-w64 xz-utils git

要安装Nim，我更喜欢使用choosenim，如下所示

curl https://nim-lang.org/choosenim/init.sh -sSf | shecho "export PATH=$HOME/.nimble/bin:$PATH" >> ~/.bashrcexport PATH=$HOME/.nimble/bin:$PATH

Nimcrypt2还依赖于一些可以通过Nimble安装的包，这可以这样做

nimble install winim nimcrypto docopt ptr_math strenc

现在安装了所有依赖项，Nimcrypt2可以像这样编译

nim c -d=release --cc:gcc --embedsrc=on --hints=on --app=console --cpu=amd64 --out=nimcrypt nimcrypt.nim

参考项目：

https://github.com/byt3bl33d3r/OffensiveNimhttps://github.com/S3cur3Th1sSh1t/Nim-RunPEhttps://github.com/S3cur3Th1sSh1t/NimGetSyscallStubhttps://github.com/ajpc500/NimlineWhispers2https://github.com/snovvcrash/NimHollow

侵权请私聊公众号删文

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”