前言
xdm国庆节快乐,加班结束,终于到放假的日子了
正文
查找查杀点
先放置完整的代码,百分百被杀
从头开始,删除
发现加载shellcode的时候报毒了
去除特征
按照网上的做法,有两个函数可以做到
- exec
- eval
他们的区别为,exec可以做到一次执行多条语句,而eval只能执行一条语句,同时eval无法做到赋值的操作 这里用eval演示一下 先简单的base64一下
然后在脚本中
继续往下走,继续报毒
重复一下操作,将创建进程并激活这部分的代码也进行base64
这里插一个题外话,python去实现其他的加密方法比其他语言简单很多,所以这里为了演示效果,也只是用eval去执行单条base64编码语句
实际操作的时候可以考虑用exec的方式,然后使用其他加密的方法来混淆(当然还是不推荐用python做免杀)
尝试一下上线
参考文章
cs分离 混淆免杀 https://mp.weixin.qq.com/s?__biz=MzIwOTMzMzY0Ng==&mid=2247484570&idx=1&sn=1c4e459c07e3e57ee240fd131e65e972&chksm=9774387ba003b16d04ee632c4e271b8a0121a174016dacf1647e3e60c4a1e5d8e3f2b86969bc&scene=21#wechat_redirect python分离免杀 https://zhuanlan.zhihu.com/p/492135330
