在开始之前还是宇宙免责
本Blog讨论的技术问题仅限于学习用,严禁用于非授权情况下执行攻击活动,如未授权攻击所造成一切后果由攻击者独自承担,所展示的代码仅用于杀软对抗学习,测试环境并非真实环境,并无对任何杀软有任何不尊重态度!!!!
然后就是来展示效果
然后就是某60的配置,我虚拟机和实体机都测试过了一样的结果
1.创作灵感
本来是不想写这个的,但是前一段时间听到身边一个人这么说(大概如下)
"我的🐎子很厉害的哦,某60都能过哦!!!"
::不得不说他身边的几个妹子确实是被唬住了(我要乐死了😀)
我们众所周知,某60在某种情况下上线来说,防御能力连WindowsDefender都不如(当然注意我的附加前提)
2.某60的特性
其实某60还是很强的(虽然好像和上面说的有点违背),像添加驱动,添加用户,改注册表,远程线程这些拦截的很死(这个没话说),"QVM杀疯了" 这是我深有感触的一句话!!!
那么我们怎么绕过某60呢 ?? 信誉度!!! 来演示一下你就知道了
3.Bypass某60
这里我准备了一个也算垃圾的Loader了吧(具体代码不公开)(纤程加载 + 抗沙箱 + 动态调用)
当然你的Loader太垃圾也不行。
然后我们直接去生成exe,扔进去某60全家桶的环境
这时候是肯定杀的,不杀说明你的QVM有问题
然后我们去添加资源
添加完资源之后就能看见QVM不杀了,我们去扫描一下(必须开网)
排除项除了Process Hacker 其他都没有了
然后我们上线
虽然是上线了,但是360其实强的还是对行为的拦截,比如你一个灰进程,你进行注入(这里是Notepad),能不报毒吗??? 包报毒的!!!!
但是真的注入不了了吗???? 肯定不是啊(所以过360的终极奥义就来了),白加黑,这也是目前最稳定的一种做法(前面说的方法其实不稳定的,说不定一会就给我杀了,但是白加黑不会!!)。 下面我们也是通过白程序进行Notepad的注入,是能注入进去的!!