分离免杀学习笔记
type
status
date
slug
summary
tags
category
icon
password
简单的分离免杀
简介
通常杀毒软件会匹配静态特征来进行恶意软件的识别,虽然现在有很多行为查杀的引擎,但个人认为杀毒软件仍旧已特征码为主,行为免杀很大程度上是监控windows api,而这些恶意软件使用的api往往都是和合法软件是一致的,这也成为了行为查杀技术的桎梏,很多恶意软件只要换个不同的编译环境,就能不被杀毒软件注意到从而绕过杀毒软件。
本文鉴于目前杀毒软件仍旧以特征库为主,将病毒代码体和执行体分离,从而规避特征免杀。
流程
- 编译好bypass.exe的加载器
- 生成payload.bin文件,此bin文件多数杀软不查杀的
- bypass.exe来执行payload.bin上线
注意:payload.bin和bypass.exe要处于同一目录下
C实现简单分离免杀
源码如下
可以看到经过处理后可轻松过火绒
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fb808f64a-caf8-420c-b617-9051823aeff6%2F%E7%81%AB%E7%BB%92.png?table=block&id=bfdb5c1c-1498-42ae-b50e-ec037faa3fbb&t=bfdb5c1c-1498-42ae-b50e-ec037faa3fbb&width=1736&cache=v2)
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F21933012-27e5-475b-8450-68423e8c049a%2F%E7%81%AB%E7%BB%92%E6%9F%A5%E6%9D%80%E7%BB%93%E6%9E%9C.png?table=block&id=438ede1f-6fca-47e6-810a-361d48c09a68&t=438ede1f-6fca-47e6-810a-361d48c09a68&width=1912&cache=v2)
360
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F6b95f360-17cd-4d93-9b61-d1a7d7d4b7dc%2FUntitled.png?table=block&id=4f1ea6fe-a4bb-4f30-a133-bfe9b505de62&t=4f1ea6fe-a4bb-4f30-a133-bfe9b505de62&width=1574&cache=v2)
杀毒网检测
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ff57ba590-8c57-4136-9162-01f21fbbe5bc%2FUntitled.png?table=block&id=39ebaf30-7d8a-4cb7-8cba-49d7eef49d6d&t=39ebaf30-7d8a-4cb7-8cba-49d7eef49d6d&width=580&cache=v2)
为了逃避沙箱,可以在上述代码中增加一个简单的反沙箱,判断系统语言是否为中文,若不是中文就打印输出hello world
Loading...