5. 尝试加壳

在这里尝试加壳，看下能不能过火绒：

5.1 加vmp壳

加壳之后的还是被杀。。。在这之前，火绒是静态查杀的，那就证明他查杀了什么关键字，我们用strings.exe获取看下，到底有哪些关键字是被杀的：

执行之后，有1w多行，根据网上的信息来看，其实火绒抓取的关键字是lsass.exe：https://xz.aliyun.com/t/11378#toc-12  2024年01月04日18:50:45

在这里搜索看下：

感觉这种不行。

5.2  themida壳

。。。

6. 特征定位

6. 1 定位特征码

既然这样的话，就按照网上的方法来定位特征码吧，把这个流程走一遍：本节主要参考：

https://www.t00ls.com/viewthread.php?tid=67457

在这使用MYCCL3.0来定位特征码。

首先添加一个信任区，不然都会被火绒杀掉：

在白名单之外的其他位置，建一个fuzz结果的文件夹，在这文件夹里面主要是给 火绒查杀的：

然后打开工具，准备fuzz，把分块数量设置为20到30之间，在这里设置为25，然后点击生成：

对生成的文件进行杀毒：

然后立即处理：

重复这些过程，直到火绒不再报毒为止：

然后点击特征区间：

继续走这个流程，直到没有风险项：

然后二次处理之后，再进行扫描：

此时再回到原来的特征码区间设定，找到第一个，右键，复合定位：

二次处理之后，无风险：

继续此过程：

经过多次循环处理之后，得到了这个结果：

现在来处理下：使用c32asm处理，使用十六进制模式：

使用快捷键来进行跳转（Ctrl+G） 首先跳转到我们第一个特征，把地址粘贴上去，点击确定

0012BE16_00000007
0013B36B_00000006

此时，可以看到这里是第一个特征，明显看到这里有lsass.exe，当然在这还有fopen、fwprintf、fclose，在这里先不去找源码，先把这个78替换为00看下：

直接保存，此时修改之后的还是报毒，那看下第二处：

在这里看到，存在logonui picture password的关键字，修改password的关键字，再试试：

此时已经不报毒了，但是文件不能用了：

应该是刚刚的lsass坏掉了，那就只能从源码里面去修复了。

7. 源码修改

7.1 lsass.exe修改

这个位置除了lsass.exe，还有fopen、fwprintf、fclose，找找看：

再找找这个固定的位置：

那就对其进行修改吧，在这里使用源码免杀辅助工具进行处理：

然后替换原来的句子：

在这里设置为wchar_t的类型，具体参考：

https://www.t00ls.com/viewthread.php?tid=67457

此时，直接重新生成解决方案看下效果：

看下能不能用，主要是mimikatz的第二句：

可以使用，目前是正常的，看下能不能免杀：

现在还有一个特征点，来处理下。

7.2 password关键字

logonui picture password的关键字，修改password的关键字，再试试：

太多了，然后筛选：

最后经过综合定位找到了这句话：

dwError = RegOpenKeyEx(HKEY_LOCAL_MACHINE, L"SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword", 0, KEY_ENUMERATE_SUB_KEYS, &hPicturePassword);

现在要对这句话进行处理，感觉是Password这个关键词：

在c语言里面，不需要像python那样使用+进行拼接，所以在这里测试下这种可以不可以，直接保存编译之后发现可以运行使用，但是依旧不免杀：

那就把那个句子再修改下：

这种应该是不起作用的，应该是编译器在编译的时候，直接将其合在一起了，那就使用和上面相似的方法规避下。

编译之后可以用，但是还是被杀，那就再看下特征码问题：

最后定位到了新的位置，转过去看下：

0012C44F_00000002

发现这个还是lsass.exe的问题。。。先修改为00看下有无问题：

虽然不可以用，那就是lsass的问题，那就把这个全部修改掉吧。

7.3 修改所有的lsass.exe

第一处：

然后编译下看看：

可以使用，试下免杀：

还是不要有幻想了，全部修改掉：

删掉

编译运行正常。最后一个文件在mimilove.c里面，在这里其实有一个前面替换之后的错误，修改如下：

再修改一下：

再检查下还有无：

基本上全部注释了，yar文件不用管，用不上，编译一下看看：

此时测试下能不能免杀：

使用正常

艹，怎么还有，再fuzz下看看问题在哪：

找下这个位置：0012C450_00000003

咋又出现了这个值，看下文件里面哪里没有处理干净：

不好意思，修改漏了。。。

看下能不能用：

终于可以过火绒了。。。

8. 火绒免杀总结

• 火绒免杀除了修改特征信息之外，还需要修改所有的lasss.exe，以及password的关键字，目前查到的信息是这样的。

• 目前该工具可以在win11，win10，win7上运行，但是win2019上运行会报错，后期会排查：

• 工具过不了wdf

9. 参考资料

https://github.com/hasherezade/pe_to_shellcode
https://mp.weixin.qq.com/s/BAckIgVzD0-mDN6NN03IjA
https://mp.weixin.qq.com/s/dP2uI85WzRkKAejYI4WLgw
https://mp.weixin.qq.com/s/8THVeIAc_rmUUrhhizZf6w
https://mp.weixin.qq.com/s/s1Cq3pmwKugksaHNwhYlfQ
https://www.t00ls.com/viewthread.php?tid=64179&highlight=mimikatz
https://www.yuque.com/u8021480/crow/ykp6npl5e9mgsd26#qL78r
https://mp.weixin.qq.com/s/yzv6as2U_F84PPzLra_bFg
https://github.com/snnxyss/In-Swor

tips：加我wx，拉你入群，一起学习

扫取二维码获取

更多精彩

乌鸦安全