推一个混淆工具,只支持.NET
测试对象:Watson
以360为例
混淆后:
杀软一般就是静态分析和动态分析
我们可以利用工具pestudio来辅助测试
pestudio主要用来做静态分析和恶意软件评估
下载地址:
https://www.winitor.com/tools/pestudio/current/pestudio.zip
简单介绍:
https://www.prodefence.org/pestudio-malware-initial-assessment-tool/
Tip: 平时编译的时候这些debug信息记得去掉.
DefenderCheck可以定位WD查杀的关键字符串,但是我在实际中使用不太好用,爱报错.
这个程序会自动对类名,变量名,命名空间,附件信息(公司名等资源信息)等进行混淆.静态绕过一些AV查杀.
主要使用的是dnlib这个库来处理.NET程序,教程参考github:
https://github.com/0xd4d/dnlib
dnlib可以获得目的程序的所有类,方法,命名空间,导出方法等等.变换字符串很方便.
也能加入强签名,
demo:
public static void obfuscateMethods(ModuleDef md){foreach (var type in md.GetTypes()){// create method to obfuscation mapforeach (MethodDef method in type.Methods){// empty method checkif (!method.HasBody) continue;// Obfuscate constructorif (method.IsConstructor) continue;string encName = RandomString(10);Console.WriteLine($"{method.Name} -> {encName}");method.Name = encName;}}}
遍历之后随机改变方法名.
https://github.com/BinaryScary/NET-Obfuscate/
编译选择Release
参考(原文)链接:https://www.xanthus.io/post/building-an-obfuscator-to-evade-windows-defender
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论