一、工具介紹

charlotte是一款Python編寫的自動化免殺工具，用來生成免殺的dll檔案，線上查殺是1/26報毒，總的來說免殺效果還可以

下載地址：https://github.com/9emin1/charlotte，需要mingw-w64環境，直接使用以下命令安裝即可

apt-get install mingw-w64*

二、程式碼分析

利用動態匯出以及xor編碼實現了對殺軟的繞過。通過python操作cpp，然後使用mingw去編譯為dll檔案，最後刪除生成的cpp檔案。
註釋python程式碼第195行，即可看到生成的程式碼

BOOL (WINAPI * pVirtualProtect)(LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect);
XOR((char *) virtual_alloc, va_len, va_key, sizeof(va_key));
pVirtualAlloc = GetProcAddress(GetModuleHandle("kernel32.dll"), virtual_alloc);
rvba = pVirtualProtect(exec_mem, calc_len, PAGE_EXECUTE_READ, &oldprotect);
 

具體是由python實現，獲取隨機字串

xor異或函式

替換，最後生成dll

三、測試效果

使用CS生成raw格式的shellcode

使用python指令碼生成dll，獲取dll和key

總的來說效果還可以，可以直接過掉360全家桶和火絨，利用白名單rundll32載入