人人都能過殺軟-簡單的免殺方法+實戰技巧
- 2019 年 10 月 6 日
- 筆記
適合人群:
本人不懂c彙編等語言,但我一樣能過殺毒(360/諾頓/avg/nod32等)。
我也沒人教就是看了網上教程會了一點點!如果各位大神你們看著不爽,那麼請你忍忍不要噴!
免殺方法:
對於一個不懂彙編的人來說,我是怎麼過殺軟的呢?
後面將會用360做為實例來給搭建演示。
- 觀察殺毒軟體報的病毒名稱,如果你修改後文件能正常使用並且殺軟報毒名稱變了,這樣一般就可以過掉。
- 不管你怎麼換資源或加殼殺軟一隻報同樣的名字,那麼就去定位一下特徵碼。
- 不同的殺毒軟體免殺的方法略有不同。
例如:360報qvm7免殺方法是替換資源文件和版本資訊。
4.本人常用的免殺方法:替換資源/加花/修改入口點/加殼等。
0x00 免殺前的準備
本次實例將會使用360殺毒來給大家演示。
病毒文件主要以提權EXP老給大家演示!
1.安裝360殺毒軟體,並把360殺毒的幾個引擎全部安裝上更新最新病毒庫。
2.我在測試360殺毒的時候發現過幾個問題:
a) 不管你怎麼殺360就是不報毒!那麼請還原虛擬機!
b)360殺毒安裝包。有老版本的盡量使用老版本的安裝包。應為新版本的即使你關了上傳還是會上傳。
c)本人使用的是360sd_std_4.2.2.4092版本。在安裝好後系統防火牆會提示是否開啟安全衛士!具體名字記不清楚了,這個地方直接選擇攔截就行了,沒什麼用。如果你選擇的放行,那後面你做免殺的時候需要全部關掉360殺毒,選擇攔截的話,只需要禁用360殺毒的實時防護功能。
3.360殺毒在全部安裝完成和修補程式升級成功之後需要關掉:可疑文件上傳。
4.在做免殺時請在斷網環境下做!
5.360有5個引擎,再過的時候可以一個個去過。
6.需要用到工具包:小七免殺工具包(其實就用幾個工具而已)
0X01 Ms15-051過360殺毒4引擎
替換資源
上圖中是在聯網環境下測試:可以看到360雲報了!(小紅傘本地也是報的!)
開始:
1.先斷網
2.使用下圖工具先替換下資源文件,看看360什麼情況!
3.下圖可以看到360已經不殺了!小紅傘本地也不殺了!
我只是添加了一個版本資訊而已!
4.聯網查殺也是不殺!我就不上圖了!這就成功過掉了360殺毒的4個引擎!
修改字元串
仍c32裡面!
修改一下:
我們殺一下看看!
也成功過掉了!
添加字元串
仍c32 拖到最後,隨便加點東西!
來聯網殺一下看看!
過掉了!
0x02 pr 過360殺毒4引擎
修改區段
聯網狀態下殺一下看看什麼情況!360雲報!
下面我就在聯網情況下過!
使用的工具:
修改區段名稱:
0x03 大灰狼遠控過紅傘
朋友發我的時候是被小紅傘乾的!
斷網環境測試。這個病毒名字一般加一個加密殼就過掉了!我這裡加個資源!
紅傘本地過掉!
qq管家過掉!
0x04 WCE 過360殺毒4引擎
聯網查:
360雲報!
斷網小紅傘報!
我們加花看下變不變!
聯網查殺可以看到病毒名字變了!
斷網看紅傘!已經過掉!
現在本地都過了!就剩聯網360雲了!
拖c32裡面去!拉到最後面!隨便改!
成功過掉360 殺毒4個引擎!
0x05 大灰狼遠控過瑞星
被幹了!
加殼過掉!
0x06 getpassword過百度殺毒
替換資源
百度殺毒默認安裝:原始殺一下!
加點東西!過了!
開啟監控!測試!無壓力!
垃圾字元串
仍c32裡面到最後面加點東西!
增加區段
真是渣!增加一個區段!就過了!
0x07 字體提權過百度殺毒(PE打亂)
原始被殺
打亂PE
總結:
對於我等屌絲!要過殺毒就要想盡一切能修改程式還不叫他損壞的方法!
作者:七歲小毛猴
來源:Ms08067安全實驗室
