免杀环境——源码免杀之C++编译
源码免杀C++基础
- 都一样 正常安装就行
- 有的是这个版本
- 这三个解压到 覆盖
- 因为之前安装过了 就看下路径吧
- 最后 提一下Assist 安装需要 进入那个vc98 目录去 安装破解
- 如果缺dll 那就下一个加载就ok
源码免杀C++基础
源码免杀C++基础
技术交流 QQ群599020441
纪年科技aming
#1 花指令 + pass 高启发语句
#2 字符串隐藏
- 利用工具
#3 动态调用
- API 转到定义
- 动态调用 在原API 前,并且 改变原API位置函数
不要依赖软件 能手动写就自己手动改
****** 那软件有bug — 自动选择dll
源码免杀实战
源码免杀实战
技术交流 QQ群599020441
纪年科技aming
#1 看一下今天的马子
Gh0st 改良版
开始搞事
- 免杀原理
病毒样本 内存地址/段 分析师定位
原始特征码
01-----> a
02-----> b
03-----> c (异常/病毒)
04-----> d
05-----> e
01-----> a
02-----> b
0201 ----->b1 (新加入)
03-----> c (异常/病毒)
04-----> d
05-----> e
- 高启发 杀软分析模块–虚拟引擎 二进制判断
eg:云引擎 小红伞
行为:
写入重启启动项 (注册表)
进行联网操作
存在攻击代码
异常字符串
- 高启发 杀软分析模块–虚拟引擎 二进制判断
加入误导代码 引导检测程序 走进误区 绕过判断
·0004000
·操作写一个干扰加法判断
- 杀软定位字符串
· nop填充 无效
源码免杀初探
源码免杀
技术交流 QQ群599020441
纪年科技aming
特征码免杀(淘汰)
- 特征码免杀定位(受干扰)
- 360云引擎(环境变杀)
- 断网 防上传 本地—> 联网(加体积-防干扰、上传) ——>云
- 特征码特别多 用PE软件dump下 有效减少特征查杀
- 定位小马 PE优化 (定位小马区段清零/随机再查杀)保护无特征码
- 小红伞 杀资源/启发式
加壳免杀(运气)
- PE优化
- 构造加花
- 加生僻壳(或者自己写一个)
源码免杀(高效)
- 构造几行代码 过N杀软
