最近迷上了免杀这一块,于是如标题所示呢,学习了9天其实准确点说是八天,因为第九天在写文章这些,还有就是我还在读大学所以每天时间有限。起初花了9.9在某鱼上买了一些文档来看,但是文档里面介绍的免杀方法已经过时了,所以只能去网上碎片化的寻找一些资料然后自己研究实现了免杀,能这么快入手还是因为以前是玩win逆向的,所以对windows r3(用户层) 和 r0(内核层)的api都比较熟息,那么写这篇文章的目的是想给入门的新手朋友避避坑,也给新手朋友提供一些静态免杀,动态免杀的思路那我们来说说静态免杀的思路吧 1 为什么要静态免杀呢?应用场景是木马文件还没运行,只是放在桌面或者某个位置杀软就直接报毒了。那我们该怎么免杀呢?1. 对于我们的shellcode加密, 这里我用的是sgn 混淆github开源项目链接 https://github.com/EgeBalci/sgn 它能让我们的shellcode 运行时自解密。
那么由于它是运行时解密的那么shellcode运行权限要为RWX可读可写可执行
那么有人要问了可读可写可执行那杀软查你也很好查啊,是的,但是我们也是有方法去隐藏的嘛,在动态免杀里面会讲到。2. 将sgn混淆后的shellcode使用AES加密,这里我使用的是自己写的加密器,他可以一键生成对应的C语言解密代码/python解密代码。
3. 对于360 被诟病已久的对于简单的输出HelloWorld的程序都会报毒的情况,我这边建议换编译器不使用VS Studio 自带的MSVC编译器改用GCC ,LLVM, 或者英特尔的编译器Intel Fortran Compiler,我这边用的是OLLVM
回复或点赞可查看完整内容
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-288602.htm