分离免杀学习笔记

type
status
date
slug
summary
tags
category
icon
password

简单的分离免杀

简介

通常杀毒软件会匹配静态特征来进行恶意软件的识别,虽然现在有很多行为查杀的引擎,但个人认为杀毒软件仍旧已特征码为主,行为免杀很大程度上是监控windows api,而这些恶意软件使用的api往往都是和合法软件是一致的,这也成为了行为查杀技术的桎梏,很多恶意软件只要换个不同的编译环境,就能不被杀毒软件注意到从而绕过杀毒软件。
本文鉴于目前杀毒软件仍旧以特征库为主,将病毒代码体和执行体分离,从而规避特征免杀。

流程

  1. 编译好bypass.exe的加载器
  1. 生成payload.bin文件,此bin文件多数杀软不查杀的
  1. bypass.exe来执行payload.bin上线
⚠️
注意:payload.bin和bypass.exe要处于同一目录下

C实现简单分离免杀

源码如下
可以看到经过处理后可轻松过火绒
notion image
notion image
360
notion image
杀毒网检测
notion image
为了逃避沙箱,可以在上述代码中增加一个简单的反沙箱,判断系统语言是否为中文,若不是中文就打印输出hello world
 
Loading...

© Soraの小站 2021-2024