首页
社区
课程
招聘
[原创]免杀基础之给病毒加上可信资源过360杀软
发表于: 2023-9-18 16:45 8010

[原创]免杀基础之给病毒加上可信资源过360杀软

2023-9-18 16:45
8010

cs生成的木马混淆后上线

第一步,使用donut.exe生成.bin文件

donut.exe -i calc.exe -a 2(x64是2,x86是1) 把exe转换成.bin(测试时将calc.exe替换成木马)
图片描述

第二步,使用工具sgn对bin文件进行混淆

sgn.exe -a 64(64位系统) -c 5(等待时间为5) shellcode.bin
图片描述

第三步,使用pe2she_1.2将混淆后的.bin文件上线shellcode

图片描述
上线成功:
图片描述
使用到的工具下载地址:
https://github.com/TheWover/donut
https://github.com/hasherezade/pe_to_shellcode/releases/tag/v1.2

免杀练习:给一个病毒加上可信资源过360

使用到的工具:https://github.com/boy-hack/go-strip
go-strip -f binary.exe -a -output new.exe
new.exe即是混淆后的二进制文件

开始之前先用360扫一下该病毒,报毒:
图片描述
使用Resource Hacker将任意一个360的资源保存下来
项目下载地址:http://www.angusj.com/resourcehacker/
图片描述
将保存下来的资源导入到病毒中
图片描述
图片描述
成功过杀软
图片描述


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2023-9-19 19:02 被大河向东流哇编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (4)
雪    币: 625
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
Trojan.Generic本身就是Hash拉黑,单说这种报法的话稍微改动下文件就能过。
不过我不太了解混入白特征能不能过QVM。

2023-9-18 17:18
0
雪    币: 293
活跃值: (244)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
别急,当修改的程序在很多电脑中出现的时候,就会继续报了。
2023-9-18 19:05
1
雪    币: 28
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
程序范围广了360会扔进沙盒里重新检查异常行为,没什么用
2023-9-19 13:07
1
雪    币: 259
活跃值: (3480)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
5
在第二种方法报毒的时候可以使用第一种方法给马子混淆,然后使用第二种方法给runshc64.exe加资源,能过windowsdefender,该方法亲测有效
2023-9-22 18:49
0
游客
登录 | 注册 方可回帖
返回
//