一、免杀平台介绍
花费10天写了个在线免杀平台,现在开始在星球内开放试运行:
平台功能预先分成了3个模块:免杀生成器、在线文库、在线工具,但是只有其中的免杀生成器->Edog加载器可以使用,其他模块还都只是占位符,以后有时间再完成了:
目前平台完成的主要功能有:免杀生成器->Edog加载器,登录注册系统,后台管理系统。
二、edog加载器
对于edog加载器,在星球内的朋友肯定很熟悉了,但是平台这个已经完全不同了,可以说是edog20,原来的edog特征比较多,每次发布过不了多久就会被杀,需要重新打包编译,并且随着杀毒软件的更新,原来的edog用的一些库直接被杀软列为了恶意了。
为了适配平台,对edog加载器进行了完全重写,采用了模块化开发,与现在的edog20相比,原来的edog完全就是屎山代码。去除了大量特征,修复了edog内存泄漏的bug,基本不会再出现被卡巴斯基直接扫描到内存存在恶意软件的情况了。edog20完全续承原来edog的所有功能,并且加入了新的免杀技术,进一步增强其免杀能力。
目前使用的技术有:
- 双重动态key
- 攀爬PEB完全隐藏导入表
- 攀爬PEB egg
- 内存分片加密执行
- 深度睡眠
免杀能力一览表如下:
三、免杀生成
后台采用msbuild编译,由于完全通过命令行传入不同的宏定义控制不同类型加载器生成,不需要修改原代码,因此可以实现并行生成,支持生成内嵌shellcode、本地分离、远程加载三种类型的加载器:
由于每次都会对代码进行重新编译,因此每次生成都要等待十几秒的时间。
四、效果图
不管是生成内嵌shellcode、本地分离还是远程加载的加载器,均有非常不错的VT查杀效果,并且续承了C/C 的优良特点,exe大小只有200KB:
360、火绒:
windows defender:
卡巴斯基:
开发平台期间有一位星球伙伴找我,成了平台的第一位测试者:
五、最后
平台还在试运行阶段,服务器配置不高只有2h2g,因此这里就不放出网址了,更加重要的是在淘宝上买到一台垃圾腾讯云服务器
