新手如何快速做到免杀fscan

admin 2025年3月18日22:50:42评论19 views字数 1348阅读4分29秒阅读模式

本工具已做到,过火绒、360、windows_df、卡巴,感觉也有因为fscan刚重构的原因特征少了不少。

工具免杀的操作,简单的操作也就是常谈的

1.去特征2.混淆3.加壳压缩体积4.加签名

去特征化

1.去除模块特征

这里下载最新版本的fscan源码2.0的,进行打包go build -ldflags="-s -w " -trimpath main.go

首先可以看到正常打包的被秒杀了,风险提示 黑客工具fscan

新手如何快速做到免杀fscan

然后这里我们按照他的提示,首先看看正常打包的有多少fscan的特征,这里直接找到了一堆fscan,不被杀才怪

新手如何快速做到免杀fscan

这里开始修改模块为本地,这里新建一个文件夹scan将4个功能的文件夹放进去

新手如何快速做到免杀fscan

打开go.mod修改module为test

新手如何快速做到免杀fscan
新手如何快速做到免杀fscan

将项目文件中所有github.com/shadow1ng/fscan替换为test/scan

新手如何快速做到免杀fscan

效果展示

新手如何快速做到免杀fscan

然后再次打开搜索,发现还剩下两个fscan,进行修改就行了

新手如何快速做到免杀fscan

go build -ldflags="-s -w " -o a.exe -trimpath main.go,重新打包查看虽然没有fscan了,但是还是报了

新手如何快速做到免杀fscan

2.去除参数特征

在linux之类的运行,我们一个ps -ef就能看到你允许的是什么玩意,你一个-hf或者-h指定一个ip之类的,是个人也知道你运行的是啥东西了吧

所以这里我们在Flag.go中,可以把一些比较常用的如-h之类的修改成-i之类的

或者可以对输入之前的值进行加密,然后参数里面在里面增添解密

新手如何快速做到免杀fscan

混淆

因为我本地是1.21版本的,这里下不了太高版本的garble,所以后面通过v来指定版本

go install mvdan.cc/garble@v0.12.1[1]

安装好的garble在GOPATH下面的bin下面,比如我这里就是D:projectgopbin下面,可以自己通过go env查看

新手如何快速做到免杀fscan

garble -tiny -literals -seed=random build -ldflags="-w -s" -o a.exe main.go

garble(混淆库):

-tiny 删除额外信息

-literals 混淆文字

-seed=random base64编码的随机种子

go:

-w 去掉调试信息,不能gdb调试了

-s 去掉符号表

新手如何快速做到免杀fscan

混淆完以后吧,啥都好就是这大小将近翻了一倍了,但是在微步云沙盒检测上已经0查杀了

新手如何快速做到免杀fscan
新手如何快速做到免杀fscan

加壳压缩

介于上面太大情况下,所以这里再通过vmp 3.8.4版本,进行加壳压缩

新手如何快速做到免杀fscan
新手如何快速做到免杀fscan

但是简单的加壳后,经过扫描发现反而被ESET检测到一些东西了

新手如何快速做到免杀fscan

这里使用常规的upx加壳试试,也是检测出一项,虽然没有可疑了,但是会被Yara规则匹配到标上UPX的标识

新手如何快速做到免杀fscan
新手如何快速做到免杀fscan

资源文件加载

通过Resource Hacker选择一个用的不是很多的企业软件exe,这里选择的是印象笔记的,导出他的RES

新手如何快速做到免杀fscan

然后打开a.exe,打开刚才导入的res

新手如何快速做到免杀fscan

导入所有

新手如何快速做到免杀fscan

进行保存即可

新手如何快速做到免杀fscan

查看工具的资源,都会变成印象的笔记的东西了,但是同样的 大小也会再次飙升

新手如何快速做到免杀fscan

病毒查杀方面

火绒最新版

upx加壳:未被查杀

vmp加壳:未被查杀

新手如何快速做到免杀fscan

windows_df

upx加壳:被查杀,云沙盒的表现略好,但是会被df杀

vmp加壳:未被查杀

新手如何快速做到免杀fscan

360杀毒

upx壳:没问题

vmp壳:没问题

新手如何快速做到免杀fscan
新手如何快速做到免杀fscan

卡巴斯基标准版

upx壳:没问题

vmp壳:没问题

新手如何快速做到免杀fscan

原文始发于微信公众号(深潜sec安全团队):新手如何快速做到免杀fscan

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日22:50:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新手如何快速做到免杀fscanhttps://cn-sec.com/archives/3814298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息