-
-
[原创]逆向玩家的免杀入门:9天搞定360核晶+卡巴动态查杀
-
发表于: 2025-9-25 20:08
-
最近迷上了免杀这一块,于是如标题所示呢,学习了9天其实准确点说是八天,因为第九天在写文章这些,还有就是我还在读大学所以每天时间有限。
起初花了9.9在某鱼上买了一些文档来看,但是文档里面介绍的免杀方法已经过时了,
所以只能去网上碎片化的寻找一些资料然后自己研究实现了免杀,
能这么快入手还是因为以前是玩win逆向的,所以对windows r3(用户层) 和 r0(内核层)的api都比较熟息,
那么写这篇文章的目的是想给入门的新手朋友避避坑,也给新手朋友提供一些静态免杀,动态免杀的思路
那我们来说说静态免杀的思路吧
1 为什么要静态免杀呢?
应用场景是木马文件还没运行,只是放在桌面或者某个位置杀软就直接报毒了。
那我们该怎么免杀呢?
1. 对于我们的shellcode加密, 这里我用的是sgn 混淆github开源项目链接 https://github.com/EgeBalci/sgn 它能让我们的shellcode 运行时自解密。
那么由于它是运行时解密的那么shellcode运行权限要为RWX可读可写可执行
那么有人要问了可读可写可执行那杀软查你也很好查啊,是的,但是我们也是有方法去隐藏的嘛,在动态免杀里面会讲到。
2. 将sgn混淆后的shellcode使用AES加密,这里我使用的是自己写的加密器,他可以一键生成对应的C语言解密代码/python解密代码。
3. 对于360 被诟病已久的对于简单的输出HelloWorld的程序都会报毒的情况,我这边建议换编译器不使用VS Studio 自带的MSVC编译器改用
GCC ,LLVM, 或者英特尔的编译器Intel Fortran Compiler,我这边用的是OLLVM
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
