手如何快速做到免杀fscan
前言
本工具已做到,过火绒、360、windows_df、卡巴,感觉也有因为fscan刚重构的原因特征少了不少。
工具免杀的操作,简单的操作也就是常谈的
1.去特征2.混淆3.加壳压缩体积4.加签名
去特征化
1.去除模块特征
这里下载最新版本的fscan源码2.0的,进行打包go build -ldflags="-s -w " -trimpath main.go
首先可以看到正常打包的被秒杀了,风险提示 黑客工具fscan
然后这里我们按照他的提示,首先看看正常打包的有多少fscan的特征,这里直接找到了一堆fscan,不被杀才怪
这里开始修改模块为本地,这里新建一个文件夹scan将4个功能的文件夹放进去
打开go.mod修改module为test
将项目文件中所有github.com/shadow1ng/fscan替换为test/scan
效果展示
然后再次打开搜索,发现还剩下两个fscan,进行修改就行了
go build -ldflags="-s -w " -o a.exe -trimpath main.go,重新打包查看虽然没有fscan了,但是还是报了
2.去除参数特征
在linux之类的运行,我们一个ps -ef就能看到你允许的是什么玩意,你一个-hf或者-h指定一个ip之类的,是个人也知道你运行的是啥东西了吧
所以这里我们在Flag.go中,可以把一些比较常用的如-h之类的修改成-i之类的
或者可以对输入之前的值进行加密,然后参数里面在里面增添解密
混淆
因为我本地是1.21版本的,这里下不了太高版本的garble,所以后面通过v来指定版本
go install mvdan.cc/garble@v0.12.1[1]
安装好的garble在GOPATH下面的bin下面,比如我这里就是D:\project\gop\bin\下面,可以自己通过go env查看
garble -tiny -literals -seed=random build -ldflags=“-w -s” -o a.exe main.go
garble(混淆库):
-tiny 删除额外信息
-literals 混淆文字
-seed=random base64编码的随机种子
go:
-w 去掉调试信息,不能gdb调试了
-s 去掉符号表
混淆完以后吧,啥都好就是这大小将近翻了一倍了,但是在微步云沙盒检测上已经0查杀了
加壳压缩
介于上面太大情况下,所以这里再通过vmp 3.8.4版本,进行加壳压缩
但是简单的加壳后,经过扫描发现反而被ESET检测到一些东西了
这里使用常规的upx加壳试试,也是检测出一项,虽然没有可疑了,但是会被Yara规则匹配到标上UPX的标识
资源文件加载
通过Resource Hacker选择一个用的不是很多的企业软件exe,这里选择的是印象笔记的,导出他的RES
然后打开a.exe,打开刚才导入的res
导入所有
进行保存即可
查看工具的资源,都会变成印象的笔记的东西了,但是同样的 大小也会再次飙升
病毒查杀方面
火绒最新版
upx加壳:未被查杀
vmp加壳:未被查杀
windows_df
upx加壳:被查杀,云沙盒的表现略好,但是会被df杀
vmp加壳:未被查杀
360杀毒
upx壳:没问题
vmp壳:没问题
卡巴斯基标准版
upx壳:没问题
vmp壳:没问题
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
扫一扫
3710
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
