蓝队追踪者工具TrackAttacker，以及免杀马生成工具

蓝队追踪者工具TrackAttacker，以及免杀马生成工具。

做过防守的都知道大HW时的攻击IP量，那么对于这些攻击IP若一个个去溯源则显得效率低下，如果有个工具可以对这些IP做批量初筛是不是更好？

0x2 TrackAttacker获取

https://github.com/Bywalks/TrackAttacker

---

Golang免杀马生成工具，在重复造轮子的基础上尽可能多一点自己的东西，最重要的loader部分参考其他作者。

相较其他免杀工具具备以下优势：
使用fyne的GUI界面，不算难看，简单易懂，还有个炫酷的进度条！wakuwaku(^▽)
可自定义多种反沙箱，其中检查微信的适合钓鱼
可自定义多种编译选项，支持garble编译环境
分离免杀(本地/HTTP)
支持打包PE文件（如mimikatz）
支持窃取数字签名
伪造微软其他软件添加icon和versioninfo

环境准备

在生成免杀马之前请注意以下四件事
确保安装Golang且环境变量中包含go否则无法编译
请在当前目录先执行go env -w GO111MODULE=on然后go mod download命令下载依赖
生成木马时需将杀软关闭，go产生的中间文件会被查杀
如果下载依赖过慢配置镜像go env -w GOPROXY=https://mirrors.aliyun.com/goproxy。国内用户建议配置。

使用方法
后缀支持bin/exe/dll，可输入绝对路径或相对路径或点击按钮选择。默认beacon.bin。（必选）
生成木马的名称。默认result.exe。（必选）
选择shellcode加密算法（必选）
选择loader（必选）
本地分离免杀，可输入绝对路径或相对路径，但生成的文件（默认code.txt）是固定在当前目录生成，木马会去读取目标路径下的分离shellcode
远程分离免杀，木马去请求网络地址下载shellcode，加密的shellcode为当前目录的code.txt
伪造数字签名，选择一个具有签名的微软文件，如MSbuild.exe等。
反沙箱
编译选项

常见问题
勾选garble编译时闪退：想勾选garble编译的需提前安装好garble，怕被说留后门啥的所以我这边不提供这种第三方的工具。
https://github.com/burrowers/garble
安装命令很简单go install mvdan.cc/garble@latest，不放心的可以去点进garble的github自己安装！

32位/64位问题：该框架生成的木马是go编译的，所以arch也是go的编译环境决定的，默认安装的会根据自身系统的arch来，命令行输入go env | findstr GOARCH可以查看。

32位的免杀效果实在太拉，个人实战中遇到非要32位的系统也不多，所以之前没有提，实在需要32位的输入set GOARCH=386可以生成32位的木马，64位：set GOARCH=amd64 。

下载地址
https://github.com/piiperxyz/AniYa