.NET自动化混淆工具

  • A+
所属分类:安全工具

推一个混淆工具,只支持.NET


测试对象:Watson

以360为例

.NET自动化混淆工具


.NET自动化混淆工具

混淆后:

.NET自动化混淆工具

杀软一般就是静态分析和动态分析

我们可以利用工具pestudio来辅助测试

pestudio主要用来做静态分析和恶意软件评估

下载地址:

https://www.winitor.com/tools/pestudio/current/pestudio.zip


简单介绍:

https://www.prodefence.org/pestudio-malware-initial-assessment-tool/


.NET自动化混淆工具


Tip: 平时编译的时候这些debug信息记得去掉.

DefenderCheck可以定位WD查杀的关键字符串,但是我在实际中使用不太好用,爱报错.


这个程序会自动对类名,变量名,命名空间,附件信息(公司名等资源信息)等进行混淆.静态绕过一些AV查杀.


主要使用的是dnlib这个库来处理.NET程序,教程参考github:

https://github.com/0xd4d/dnlib


dnlib可以获得目的程序的所有类,方法,命名空间,导出方法等等.变换字符串很方便.

也能加入强签名,


demo:


        public static void obfuscateMethods(ModuleDef md)        {            foreach (var type in md.GetTypes())            {                // create method to obfuscation map                foreach (MethodDef method in type.Methods)                {                    // empty method check                    if (!method.HasBody) continue;                    // Obfuscate constructor                    if (method.IsConstructor) continue;
string encName = RandomString(10); Console.WriteLine($"{method.Name} -> {encName}"); method.Name = encName; } } }


遍历之后随机改变方法名.



https://github.com/BinaryScary/NET-Obfuscate/

编译选择Release



参考(原文)链接:https://www.xanthus.io/post/building-an-obfuscator-to-evade-windows-defender




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: