本文仅提供安全研究与教学之用,用户将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任
- 这篇文章没有任何目的,以前也完全没有接触过免杀,只是处于好奇,花了一天时间进行研究.本文所有内容仅供自娱自乐.大家看个乐呵就行.
- 免杀的目标各种各样.有针对exe免杀的,也有针对shellcode免杀的.
- 市面上的杀毒软件也千变万化.为了增强通用性,本文使用msf生成的反向shellcode作为案例,这应该是被各大杀毒软件研究烂的版本,因此可以作为典型代表.
特殊照顾:
- FireEye
- Avast
- Alibaba
- Baidu
- McAfee
- Microsoft
0x1 关于shellcode
- 本文使用的是msf生成的
reverse_tcp
- 大家可以根据实际情况实际做修改
0x2 裸奔
- 首先测试自带的版本,源码中附带的
- 可以看到效果狠辣跨
0x3 清理源码
- 很多杀毒软件会对源码中的关键字符串进行过滤
- 删除/替换 可以做到一定程度的免杀
- 清理后的源码这里就不放出来了
- 效果还是不错的
0x3 调整编译器
- 每个编译器的编译方式以及偏好都有所不同
- 使用小众的编译器本身就可以免杀
- 可以考虑在编译器上做手脚
- 效果拔群
0x4 膨胀混淆
- 对代码进行膨胀,混淆可以很大程度的免杀
- 尽量避免使用开源/商业化壳,有强特征检测
- 可以自己写一个壳
- 这个
Cynet
真的强,鹤立鸡群
0x5 mimikatz免杀
- 这里将之前提到的所有技术全部用上
- 针对
mimikatz
做免杀处理可以得到一个目前100%免杀的版本