免杀笔记

免杀

1 shellcode加密

• 通过python脚本加密，64位
• 加一个c++加载器，通过mingw编译
• 需要专门的解码工具，代码写的比较复杂（文件多），不容易移植
• 经测试，可以过除卡巴外的杀软
• 网址：https://github.com/ORCA666/EVA2

2 Pyinstall打包

• 可免杀，但不能上线

3 加壳

• UPX不行
• ASP加壳可以过Avast，但不能过Symantic

4 veil + mingw-w64

• veil生成shellcode，mingw加载
• 加载命令gcc shellcode.c -l ws2_32
• mingw只能编译64位，TDM-gcc都可以
• 编译生成的exe不能绕symantic，可检测出来veil
• 网址：https://www.freebuf.com/articles/system/260965.html

5 powershell加密免杀

• shellcode加密和关键字替换
• 文中说可以绕kapsky，测试后可以上线，但不能过symantic
• https://www.cnblogs.com/forforever/p/13882312.html

6 shellcode加载混淆

shellcode异或和加字节

• python脚本加密，c解密和加载

• 测试后静态免杀，动态symantic和defender都能杀

• https://saucer-man.com/operation_and_maintenance/465.html

  shellcode编码方式汇总

• https://cloud.tencent.com/developer/article/1584907

7 dll免杀

• https://cloud.tencent.com/developer/article/1597765

8 go免杀

• https://www.cnblogs.com/Xy--1/p/14399930.html

9 工具免杀

• https://www.cnblogs.com/sijidou/p/13165756.html
• https://github.com/TideSec/BypassAntiVirus

10 在线免杀平台

• https://blog.csdn.net/qq_26091745/article/details/108922707

  狼组免杀平台

• https://blog.csdn.net/baozhourui/article/details/112218766?utm_medium=distribute.pc_relevant.none-task-blog-2_defaultbaidujs_baidulandingword~default-0.base&spm=1001.2101.3001.4242

11 shellcode加载器

c++加载器

#include <Windows.h>
#include <stdio.h>
using namespace std;
#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
#pragma comment(linker, "/INCREMENTAL:NO")

int main(int argc, char** argv) {
    unsigned char ShellCode[] = " ";
    void* exec = VirtualAlloc(0, sizeof ShellCode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	memcpy(exec, ShellCode, sizeof ShellCode);
	((void(*)())exec)();
	return 0;
}

7 其它

• https://github.com/ORCA666/EVA2 python\c\powershell的shellcode加密解密工具