如何进行免杀

news2024/10/5 21:15:15

0x03 免杀思路总结

环境准备：

火绒（静态）、360、windowsdef（动态）免杀的最基本思路就是去除其特征，这个特征有可能是特征码，也有可能是行为特征，只要在不修改其原有功能的情况下，破坏了病毒与木马所固有的特征，一次免杀就能完成。文件免杀

修改特征码

在讲述修改特征码前，先解释一下啥叫特征码特征码就是杀软用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的杀软的病毒库中不同。但总体来说，特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或者在特定位置调用的一个函数。总的来说，如果某个文件具有这个特征码，那杀软就会认为它是病毒。反之，如果将这些特征码从病毒、木马的文件中去除或破坏掉，那杀软就会认为它是一个正常文件。更改特征码达到免杀的效果实际上包含两种思想。一种方法是直接修改特征码，这也是免杀的最初方式，例如在木马病毒中有一句话表明它是木马，只要将相应地址内的那句话改成别的就可以了，在不影响功能的情况下，可以考虑直接删掉第二种方法是针对目前推出的校验和查杀技术，原理虽然仍是特征码，但已经不是纯粹意义上特征码的概念。其方法就是针对杀软匹配的特定区域的校验和进行修改，使得这一区域的校验和改变，从而完成免杀。也正因此，在定位特征码时，会存在定位了两次却得出不同结果。

花指令免杀

花指令就是一段毫无意义的指令，也称为垃圾指令，花指令对程序的运行和功能没有任何影响，它存在的唯一目的就是阻止反汇编程序，或者增加反汇编的难度。然而这种操作对杀软的影响也是致命的。它之所以能影响杀软是因为杀软是靠特征码判断文件是否有毒，然而目前各大安全厂商为了提高杀软的效率，会将特征码限制在一定偏移量之内，而添加花指令，程序的部分偏移会受到影响，若杀软不能识别这段花指令，检测特征码的偏移量会整体移一段位置，无法正常检测。这仅仅是针对第一代扫描技术的方法，不过即使是杀软采用虚拟机分析、校验和扫描或启发式分析，花指令也会起到一定的作用，针对不同的检测方式，花指令起到的作用也不同，其最根本的思想是扰乱程序运行顺序，并未破解者设下陷，若花指令可以成功保护软件真正代码不被轻易反汇编，那对于杀软来说，其检测的也并非木马或病毒的真正内容了。

例:使用msf的encode模块，对shellcode进行编码处理

基于shellcode编码&加密

msfvenom -l encoder 查看工具中具有的编码方式

具体命令：-p payload -e encoder -i encoder的次数 -b 排除那些字符，一般是排除空“xff x00 x0A x0d”

可使用原生编码进行多重编码，注：只有最后一次导出文件，之前的编码都使用-f raw原始数据的形式通过管道符传递

加壳免杀

软件加壳也可称为软件加密（软件压缩），只是加密的方式与目的不同。加壳的目的是减少被加壳应用程序的体积，或避免让程序遭到不法分子的破坏与利用。很多人就会想，如果加壳的话会不会破坏程序，其实并不会，当我们运行这个加壳的程序时，系统首先会运行程序的“壳”，然后由壳将加密的程序逐步还原到内存中，最后运行程序。加密后的文件结构已经发生了巨大的变化，原有的特征码已经不知去向，杀软也就自然认为其为一个正常的文件。使用市面上的常见/不常见的加壳应用，对上方生成的exe文件进行压缩处理

风险：可能导致无法正常上线

加壳后去特征

kali中编辑器可修改hex数据

找到对应加壳软件的名称部分，通过修改数据去除特征，（光标上下左右选择）

内存免杀

众所周知CPU不可能为某一款加壳软件特别设计，因此某个软件被加壳后的代码CPU无法读懂，这就要求在执行外壳代码时，要先将原软件解密，并放到内存中，然后再通知CPU执行，因此杀软可以在这设立一个关卡对木马和病毒进行检测让其原形毕露，也正因此我们前面讲到的文件免杀在这里统统失效。于是我们考虑在内存中对抗杀软的查杀，其实思想与文件查杀一样，因为杀软的内存扫描原理与硬盘上的文件扫描原理一样，都是通过特征码对比，为了制造迷惑性，大多数杀软的内存扫描与文件扫描采用的特征码不同，就导致一个病毒木马同时拥有两套特征码，需要全部破坏掉才能躲避杀软的查杀，在一定程度上增加了免杀的难度