这年头,免杀技术层出不穷,但真正能稳定存活的又有几个?今天咱们就来聊聊一种“简易”的免杀绕过方法,说白了就是老瓶装新酒,换汤不换药。
“参考”?不如说是“缝合”!
作者上来就甩出一个GitHub链接,说是参考了师兄的项目。说白了,就是“exe-shellcode-加密-运行”这条老路子。这种方法早就被玩烂了,现在拿出来说“简易免杀”,是不是有点侮辱大家的智商?
直接看图吧,作者用geacon做实验,结果直接翻车。
看到没?geacon直接被干趴下。这说明什么?说明静态特征太明显了!
shellcode加密:最后的遮羞布?
既然exe直接GG,那就只能祭出shellcode大法了。作者把exe转成shellcode,然后用“提供的py脚本”进行加密。
生成之后将123.txt放到config目录下
利用提供的py脚本将123.txt shellcode加密
之后可以看到生成了123.dat
不得不说,这种加密方式确实能绕过一些简单的查杀。但是,只要稍微有点经验的安全工程师,就能通过分析流量、内存等方式,轻松找到解密密钥,然后反推出原始shellcode。
侥幸绕过?别太乐观!
作者修改payload.ini,然后运行123.exe,成功上线,绕过了360。
但是,绕过360就代表安全了吗?图样图森破!360的水平大家都懂的。
再看看微步云沙箱的结果:
确实牛逼
微步的检测结果也只能说是“未知”。这说明什么?说明这种方法还是有一定效果的,但绝对不是万能的。
免杀的本质是什么?
免杀的本质不是“绕过”,而是“对抗”。对抗的目的是为了隐藏恶意行为,让安全软件无法识别。
这种“简易免杀”方法,充其量只能算是一种“障眼法”,欺骗一下低级别的安全软件。真正想要做到免杀,需要深入理解安全软件的检测原理,然后针对性地进行对抗。
最后,我只想说,免杀之路,道阻且长,各位且行且珍惜!
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
