Shellcode Loader免杀

2022-10-27 14:59:44 浏览数 (2)

前言

xdm国庆节快乐,加班结束,终于到放假的日子了

正文

查找查杀点

先放置完整的代码,百分百被杀

从头开始,删除

发现加载shellcode的时候报毒了

去除特征

按照网上的做法,有两个函数可以做到

  • exec
  • eval

他们的区别为,exec可以做到一次执行多条语句,而eval只能执行一条语句,同时eval无法做到赋值的操作 这里用eval演示一下 先简单的base64一下

然后在脚本中

继续往下走,继续报毒

重复一下操作,将创建进程并激活这部分的代码也进行base64

这里插一个题外话,python去实现其他的加密方法比其他语言简单很多,所以这里为了演示效果,也只是用eval去执行单条base64编码语句

实际操作的时候可以考虑用exec的方式,然后使用其他加密的方法来混淆(当然还是不推荐用python做免杀)

尝试一下上线

参考文章

cs分离 混淆免杀 https://mp.weixin.qq.com/s?__biz=MzIwOTMzMzY0Ng==&mid=2247484570&idx=1&sn=1c4e459c07e3e57ee240fd131e65e972&chksm=9774387ba003b16d04ee632c4e271b8a0121a174016dacf1647e3e60c4a1e5d8e3f2b86969bc&scene=21#wechat_redirect python分离免杀 https://zhuanlan.zhihu.com/p/492135330

0 人点赞