0x00 工具简介
本次分享的为一个可以用于免杀过某360/某绒/某管家的C#混淆器
但是因为该混淆器只能混淆.Net Framework应用程序,所以在实战中稍微有一点鸡肋
0x01 工具测试
首先以一个C#编写的bypassUAC应用程序为例
该程序在未做任何处理的情况下被360以及电脑管家识别为病毒木马程序
使用混淆器进行混淆处理
yetAnotherObfuscator.exe bypassUAC.exe
混淆之后会在目录下生成一个_obf的文件,这就是混淆之后的文件
对比原程序,仅增加了2KB左右的大小
将混淆之后的应用程序使用杀毒软件进行查杀
已经无法识别出为木马病毒程序
但是由于bypassUAC的方法已经被360和谐
所以运行时被360安全大脑行为检测到为可疑操作
接下来使用实战中常用到的提权Potato来进行测试
首先是未作任何处理下杀毒软件的查杀
使用C#混淆器对其进行混淆
yetAnotherObfuscator.exe EfsPotato.exeyetAnotherObfuscator.exe SweetPotato.exe
再使用杀毒软件进行查杀
已经成功免杀360/火绒/电脑管家,并且功能正常
0x03 注意事项
无法对C#以外的程序进行混淆,例如C、C++
否则会出现以下错误
0x04 下载地址
https://github.com/0xb11a1/yetAnotherObfuscator
原文始发于微信公众号(饼干安全区):【免杀工具】C#免杀混淆器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论