人人都能过杀软-简单的免杀方法+实战技巧
- 2019 年 10 月 6 日
- 筆記
适合人群:
本人不懂c汇编等语言,但我一样能过杀毒(360/诺顿/avg/nod32等)。
我也没人教就是看了网上教程会了一点点!如果各位大神你们看着不爽,那么请你忍忍不要喷!
免杀方法:
对于一个不懂汇编的人来说,我是怎么过杀软的呢?
后面将会用360做为实例来给搭建演示。
- 观察杀毒软件报的病毒名称,如果你修改后文件能正常使用并且杀软报毒名称变了,这样一般就可以过掉。
- 不管你怎么换资源或加壳杀软一只报同样的名字,那么就去定位一下特征码。
- 不同的杀毒软件免杀的方法略有不同。
例如:360报qvm7免杀方法是替换资源文件和版本信息。
4.本人常用的免杀方法:替换资源/加花/修改入口点/加壳等。
0x00 免杀前的准备
本次实例将会使用360杀毒来给大家演示。
病毒文件主要以提权EXP老给大家演示!
1.安装360杀毒软件,并把360杀毒的几个引擎全部安装上更新最新病毒库。
2.我在测试360杀毒的时候发现过几个问题:
a) 不管你怎么杀360就是不报毒!那么请还原虚拟机!
b)360杀毒安装包。有老版本的尽量使用老版本的安装包。应为新版本的即使你关了上传还是会上传。
c)本人使用的是360sd_std_4.2.2.4092版本。在安装好后系统防火墙会提示是否开启安全卫士!具体名字记不清楚了,这个地方直接选择拦截就行了,没什么用。如果你选择的放行,那后面你做免杀的时候需要全部关掉360杀毒,选择拦截的话,只需要禁用360杀毒的实时防护功能。
3.360杀毒在全部安装完成和补丁升级成功之后需要关掉:可疑文件上传。
4.在做免杀时请在断网环境下做!
5.360有5个引擎,再过的时候可以一个个去过。
6.需要用到工具包:小七免杀工具包(其实就用几个工具而已)
0X01 Ms15-051过360杀毒4引擎
替换资源
上图中是在联网环境下测试:可以看到360云报了!(小红伞本地也是报的!)
开始:
1.先断网
2.使用下图工具先替换下资源文件,看看360什么情况!
3.下图可以看到360已经不杀了!小红伞本地也不杀了!
我只是添加了一个版本信息而已!
4.联网查杀也是不杀!我就不上图了!这就成功过掉了360杀毒的4个引擎!
修改字符串
仍c32里面!
修改一下:
我们杀一下看看!
也成功过掉了!
添加字符串
仍c32 拖到最后,随便加点东西!
来联网杀一下看看!
过掉了!
0x02 pr 过360杀毒4引擎
修改区段
联网状态下杀一下看看什么情况!360云报!
下面我就在联网情况下过!
使用的工具:
修改区段名称:
0x03 大灰狼远控过红伞
朋友发我的时候是被小红伞干的!
断网环境测试。这个病毒名字一般加一个加密壳就过掉了!我这里加个资源!
红伞本地过掉!
qq管家过掉!
0x04 WCE 过360杀毒4引擎
联网查:
360云报!
断网小红伞报!
我们加花看下变不变!
联网查杀可以看到病毒名字变了!
断网看红伞!已经过掉!
现在本地都过了!就剩联网360云了!
拖c32里面去!拉到最后面!随便改!
成功过掉360 杀毒4个引擎!
0x05 大灰狼远控过瑞星
被干了!
加壳过掉!
0x06 getpassword过百度杀毒
替换资源
百度杀毒默认安装:原始杀一下!
加点东西!过了!
开启监控!测试!无压力!
垃圾字符串
仍c32里面到最后面加点东西!
增加区段
真是渣!增加一个区段!就过了!
0x07 字体提权过百度杀毒(PE打乱)
原始被杀
打乱PE
总结:
对于我等屌丝!要过杀毒就要想尽一切能修改程序还不叫他损坏的方法!
作者:七岁小毛猴
来源:Ms08067安全实验室
