如何利用十行C++代码，绕过杀毒软件实现免杀？

我相信大部分的读者都会同意这个观点&＃xff0c;绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而&＃xff0c;我也偶尔会遇到一些人仅仅依靠工具生成二进制文件&＃xff0c;这些文件很容易被杀毒软件通过指纹标记出来。本文主要是为这些人所准备的。

下面是小编整理好的一套C/C&＃43;&＃43;资料&＃xff0c;加小编C/C&＃43;&＃43;编程学习群825414254&＃xff0c;获取系统性学习C/C&＃43;&＃43;的学习资料

在我们开始接触这段小巧的 C&＃43;&＃43; 代码前&＃xff0c;我想先介绍一个可以非常棒的制造免杀的工具 Veil-Evasion((Veil-Framework的一部分)。这个工具非常神奇 (感谢&＃64;harmj0y和他的小伙伴们创建了这个神奇的项目)&＃xff0c;在几乎所有情况下&＃xff0c;它都没有让我失望过。如果有&＃xff0c;那我就要批评那些总是不停生成二进制文件然后上传到 virustotal 进行测试的人。如果你不这么做&＃xff0c;那就会更加美好了。
无论如何&＃xff0c;这就引出了一个问题&＃xff0c;既然像 Veil-Evasion 这类的工具这么神奇&＃xff0c;那为什么你要关心如何自己在二进制文件加入 shellcode?原因有很多&＃xff1a;
大牛都很忙而且工具有些过时。
工具生成的二进制都拥有相似的指纹&＃xff0c;不是指 payload&＃xff0c;而是说工具编译二进制的结构有相似的指纹。
作为一个渗透测试工作者&＃xff0c;你应当知道如何做。
在你看下面的代码前&＃xff0c;你应该注意到这是针对 Windows 平台的&＃xff0c;很明显代码中有 windows.h 的引用。

很简单&＃xff0c;上面的代码创建了一个可以自行添加包含 shellcode 的字符数组&＃xff0c;关键点在于将你的 shellcode 与小写字母 ‘x’ 执行异或操作&＃xff0c;然后分配一些内存&＃xff0c;拷贝字符数组到分配的内存中&＃xff0c;最后执行它。需要特别注意的是&＃xff0c;你要先将 shellcode 与你选择的关键字(本例中为 ‘x’)进行异或操作&＃xff0c;然后将 shellcode 放入到上面代码中并编译。
这时你可能会问“就这样?”。我了解你的感受&＃xff0c;因为当时我也是这么想的&＃xff0c;在写完第一章内容并上传样本到 virustotal 后并收到 0/56 的检测率。我想强调这是一个令人难以置信的简单和基础的技术&＃xff0c;但它成功率却出奇的高。

你生成二进制文件的 SHA256 值可能跟我样本的不太一样&＃xff0c;我样本中包含的shellcode 是由 metasploit framework 生成的。