Yak.exe滥用作C2木马免杀360火绒内存扫描-先知社区

前言

Yaklang的TCP网络连接库用起来十分方便，一行代码即可启动一个TCP服务器

一行代码即可连接TCP连接

然后server与clien就可以通信了。

那么利用TCP库是否也可以制作C2呢？做C2是否又可以做木马呢？

第一个问题显然是可以的，而且要时间简单的C2也是十分简单，代码量很小，这也是yaklang的强大之处。

对比python ， Python 是单线程阻塞模型，需要手动添加多线程才能同时处理多个连接，而Yaklang 自动为每个新连接创建独立协程，天然支持并发，Python 使用标准 socket 库，需要显式管理套接字生命周期而Yaklang 提供更简洁的 tcp.Serve 高阶函数，采用回调模式。所以如果需要快速原型开发时和高并发场景优先选择 Yaklang，不过需要精细控制底层细节时还是Python。

第二个问题，如果做木马，需要用到yak.exe，而yak.exe会不会被杀呢？起初我看了看yak.exe有没有数字签名，如果有的话肯定就是白文件了，因为他肯定不是伪造的，很可惜他没有

图片加载失败

但是他的免杀效果如何呢？我个人觉得yak.exe是肯定不会被杀的，因为yakit是个合法软件，yakit必须也依赖yak.exe，所以我觉得大概率不会被杀的。而yak脚本呢，个人觉得目前来说被杀的概率也不大。也不像其他编程语言的那么敏感。实践上也正如我的推测。两款杀软都没有杀。那就动手试试C2的效果。

Yak作C2

服务端起TCP服务器，并循环等待用户输入命令并向客户端发送命令，等待客户端的命令执行结果

客户端请求建立TCP连接，并循环等待服务端发送的指令，执行完毕后将结果返回服务端