言
本工具已做到,过火绒、360、windows_df、卡巴,感觉也有因为fscan刚重构的原因特征少了不少。
工具免杀的操作,简单的操作也就是常谈的
1.去特征2.混淆3.加壳压缩体积4.加签名
去特征化
1.去除模块特征
这里下载最新版本的fscan源码2.0的,进行打包go build -ldflags="-s -w " -trimpath main.go
首先可以看到正常打包的被秒杀了,风险提示 黑客工具fscan
然后这里我们按照他的提示,首先看看正常打包的有多少fscan的特征,这里直接找到了一堆fscan,不被杀才怪
这里开始修改模块为本地,这里新建一个文件夹scan将4个功能的文件夹放进去
打开go.mod修改module为test
将项目文件中所有github.com/shadow1ng/fscan替换为test/scan
效果展示
然后再次打开搜索,发现还剩下两个fscan,进行修改就行了
go build -ldflags="-s -w " -o a.exe -trimpath main.go,重新打包查看虽然没有fscan了,但是还是报了
2.去除参数特征
在linux之类的运行,我们一个ps -ef就能看到你允许的是什么玩意,你一个-hf或者-h指定一个ip之类的,是个人也知道你运行的是啥东西了吧
所以这里我们在Flag.go中,可以把一些比较常用的如-h之类的修改成-i之类的
或者可以对输入之前的值进行加密,然后参数里面在里面增添解密
混淆
因为我本地是1.21版本的,这里下不了太高版本的garble,所以后面通过v来指定版本
go install mvdan.cc/garble@v0.12.1[1]
安装好的garble在GOPATH下面的bin下面,比如我这里就是D:projectgopbin下面,可以自己通过go env查看
garble -tiny -literals -seed=random build -ldflags="-w -s" -o a.exe main.go
garble(混淆库):
-tiny 删除额外信息
-literals 混淆文字
-seed=random base64编码的随机种子
go:
-w 去掉调试信息,不能gdb调试了
-s 去掉符号表
混淆完以后吧,啥都好就是这大小将近翻了一倍了,但是在微步云沙盒检测上已经0查杀了
加壳压缩
介于上面太大情况下,所以这里再通过vmp 3.8.4版本,进行加壳压缩
但是简单的加壳后,经过扫描发现反而被ESET检测到一些东西了
这里使用常规的upx加壳试试,也是检测出一项,虽然没有可疑了,但是会被Yara规则匹配到标上UPX的标识
资源文件加载
通过Resource Hacker选择一个用的不是很多的企业软件exe,这里选择的是印象笔记的,导出他的RES
然后打开a.exe,打开刚才导入的res
导入所有
进行保存即可
查看工具的资源,都会变成印象的笔记的东西了,但是同样的 大小也会再次飙升
病毒查杀方面
火绒最新版
upx加壳:未被查杀
vmp加壳:未被查杀
windows_df
upx加壳:被查杀,云沙盒的表现略好,但是会被df杀
vmp加壳:未被查杀
360杀毒
upx壳:没问题
vmp壳:没问题
卡巴斯基标准版
upx壳:没问题
vmp壳:没问题
原文始发于微信公众号(深潜sec安全团队):新手如何快速做到免杀fscan
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论