C++免杀技术-实现 VT 全免杀(0/71)
2023-2-20 19:24:32 Author: 猫哥的秋刀鱼回忆录(查看原文) 阅读量:151 收藏

1   前言

2   效果图

3   前置知识

4   免杀实验

5   实验结论


 01

前言

之前制作了VT查杀1的免杀马,于是我自夸了一句过VT和微步,但是群里面有小伙伴说:

的确是还有一个,本来我觉得VT 1/71已经够了,但我觉得还是可以研究一下,在我的印象里剩下这个MaxSecure只要是g++打包的exe都会报毒。

如果我的免杀代码没有问题,杀毒无法监测出病毒,那么问题只能出在编译上。

 02

效果图

还是先放效果图:

 03

前置知识

免杀马的实现就是将shellcode加密、shellcode加载器、反沙箱及编译器编译等几种技术组合在一起实现免杀。

前面一篇文章讲了shellcode加密、shellcode加载器、反沙箱以及简单讲了以下编译器编译,在选择编译器时VS还是g++,选择g++,因为g++编译的空包exe比VS编译低两个数量级。但除了编译器选择还有编译器应该如何编译——编译器编译命令。编译器编译命令也是一个很大的影响因数,后面的会写一篇python免杀VT查杀1/71的文章也会用到这个原理。

 04

免杀实验

先让chargpt写一个冒泡排序:

这是一段完全无害的代码,如果报毒,那么绝对是编译的问题,分别用VS与g++编译这一段代码上传VT看看VT报毒情况。

VS编译:

g++编译:

g++ scl2.cpp -o scl.exe -mconsole

可以看到g++编译的命令要比VS低很多,后面继续用g++编译这一段代码不同的是不断改变g++的编译命令。

先测试一些常见的命令:

g++ scl2.cpp -o scl.exe -mconsole -pipe

g++ scl2.cpp -o scl.exe -mconsole -time

g++ scl2.cpp -o scl.exe -mconsole -s

一些参数还可能会导致报毒变多,-s参数就是一个很典型的例子,6个报毒。。

g++ scl2.cpp -o scl.exe -mconsole -pie

-pie参数编译后运行没有反应,跳过。

g++ scl2.cpp -o scl.exe -mconsole -shared

-shared参数编译后运行无法运行,跳过。

--target-help下面还有几百个参数:

我试了一些不是没有变化就是不能运行或是不会用,这个时候我想到了chargpt,这种时候用chargpt就是很合适了。

  1. -s 参数用于剥离可执行文件中的符号表,这样可以使反汇编变得更困难,也可以减少程序被误判为病毒的概率。

  2. -fno-stack-protector 参数可以禁用堆栈保护机制,这样可以减少杀软对程序的误报。

  3. -fvisibility=hidden 参数可以隐藏编译出的符号表,这也可以使反汇编变得更困难。

  4. -Wl,--dynamicbase,-Wl,--nxcompat 参数可以启用程序地址空间随机化和数据执行保护,这可以提高程序的安全性,同时也可以减少杀软的误报。

前面第一个 -s ,前面试过了,6个报毒,直接舍弃。试试后面的4个:

g++ scl.cpp -o scl.exe -mconsole -fno-stack-protector

还是1个报毒。

g++ scl.cpp -o scl.exe -mconsole -fno-stack-protector -fvisibility=hidden

还是1个报毒。

g++ scl.cpp -o scl.exe -mconsole -fno-stack-protector -fvisibility=hidden -Wl,--dynamicbase

还是1个报毒。

g++ scl.cpp -o scl.exe -mconsole -fno-stack-protector -fvisibility=hidden -Wl,--dynamicbase -Wl,--nxcompat

最后一个0个报毒!

那么关键的时候来了,将代码换成前一篇的随机值时间碰撞解密免杀(没有看过前一篇的关注公众号:锦鲤安全)。

g++ scl2.cpp -o scl.exe -mconsole -fno-stack-protector -fvisibility=hidden -Wl,--dynamicbase -Wl,--nxcompat

g++编译,主机启动360不报毒,cs正常上线

上传VT,结果出来实现VT全免杀!至此实验结束。

补充:

g++ scl2.cpp -o scl.exe -mconsole -Wl,--nxcompat

单独使用 -Wl,--nxcompat 参数还是会导致报毒。

05

实验结论

在代码确定免杀的情况下报毒,是编译的问题。使用g++编译时 -s 参数会导致报毒增多(6/71),

-fno-stack-protector -fvisibility=hidden -Wl,--dynamicbase -Wl,--nxcompat

连在一起使用可减少报毒(0/71)。

g++ scl2.cpp -o scl.exe -mconsole -fno-stack-protector -fvisibility=hidden -Wl,--dynamicbase -Wl,--nxcompat


长按-识别-关注

锦鲤安全

一个安全技术学习与工具分享平台

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjMyNDcxMg==&mid=2247499437&idx=1&sn=8bb5d092c1b84528d75706185829c284&chksm=c3056b2af472e23c7f73bd908daf500ba4a029b8f87d9e11558cf047d8e5891c4ad8bbc0be61#rd
如有侵权请联系:admin#unsafe.sh