文章总结: 该文档详述了通过修改源码、混淆和加壳使Fscan2.0绕过杀软。步骤包括重命名模块路径去除特征、修改参数、使用Garble混淆代码、使用VMP或UPX加壳及替换资源文件。结果显示VMP加壳版本能有效绕过火绒、360、WindowsDefender和卡巴斯基,提供了具体的免杀实战思路。 综合评分: 81 文章分类: 免杀,安全工具,实战经验,红队
新手如何快速做到免杀fscan
原创
深潜sec安全团队 深潜sec安全团队
深潜sec安全团队
2025年3月8日 08:20 浙江
| | | — | | 关注公众号,发送“学习交流”进入交流群 觉得不错的话,可以点点赞、转发呦 |
前言
本工具已做到,过火绒、360、windows_df、卡巴,感觉也有因为fscan刚重构的原因特征少了不少。
工具免杀的操作,简单的操作也就是常谈的
1.去特征2.混淆3.加壳压缩体积4.加签名
去特征化
1.去除模块特征
这里下载最新版本的fscan源码2.0的,进行打包go build -ldflags=”-s -w ” -trimpath main.go
首先可以看到正常打包的被秒杀了,风险提示 黑客工具fscan
然后这里我们按照他的提示,首先看看正常打包的有多少fscan的特征,这里直接找到了一堆fscan,不被杀才怪
这里开始修改模块为本地,这里新建一个文件夹scan将4个功能的文件夹放进去
打开go.mod修改module为test
将项目文件中所有github.com/shadow1ng/fscan替换为test/scan
效果展示
然后再次打开搜索,发现还剩下两个fscan,进行修改就行了
go build -ldflags=”-s -w ” -o a.exe -trimpath main.go,重新打包查看虽然没有fscan了,但是还是报了
2.去除参数特征
在linux之类的运行,我们一个ps -ef就能看到你允许的是什么玩意,你一个-hf或者-h指定一个ip之类的,是个人也知道你运行的是啥东西了吧
所以这里我们在Flag.go中,可以把一些比较常用的如-h之类的修改成-i之类的
或者可以对输入之前的值进行加密,然后参数里面在里面增添解密
混淆
因为我本地是1.21版本的,这里下不了太高版本的garble,所以后面通过v来指定版本
go install mvdan.cc/[email protected][1]
安装好的garble在GOPATH下面的bin下面,比如我这里就是D:\project\gop\bin\下面,可以自己通过go env查看
garble -tiny -literals -seed=random build -ldflags=”-w -s” -o a.exe main.go
garble(混淆库):
-tiny 删除额外信息
-literals 混淆文字
-seed=random base64编码的随机种子
go:
-w 去掉调试信息,不能gdb调试了
-s 去掉符号表
混淆完以后吧,啥都好就是这大小将近翻了一倍了,但是在微步云沙盒检测上已经0查杀了
加壳压缩
介于上面太大情况下,所以这里再通过vmp 3.8.4版本,进行加壳压缩
但是简单的加壳后,经过扫描发现反而被ESET检测到一些东西了
这里使用常规的upx加壳试试,也是检测出一项,虽然没有可疑了,但是会被Yara规则匹配到标上UPX的标识
资源文件加载
通过Resource Hacker选择一个用的不是很多的企业软件exe,这里选择的是印象笔记的,导出他的RES
然后打开a.exe,打开刚才导入的res
导入所有
进行保存即可
查看工具的资源,都会变成印象的笔记的东西了,但是同样的 大小也会再次飙升
病毒查杀方面
火绒最新版
upx加壳:未被查杀
vmp加壳:未被查杀
windows_df
upx加壳:被查杀,云沙盒的表现略好,但是会被df杀
vmp加壳:未被查杀
360杀毒
upx壳:没问题
vmp壳:没问题
卡巴斯基标准版
upx壳:没问题
vmp壳:没问题
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:深潜sec安全团队 深潜sec安全团队 深潜sec安全团队《新手如何快速做到免杀fscan》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论