免杀对抗-C2远控篇&C&C++&EXE处理&减少熵值&加自签名&详细信息&特征码源码定位

熵和恶意软件(针对360比较有效 )

恶意软件会采取许多策略和技巧来从 AV 引擎的扫描中隐藏恶意软件。像shellcode加密,函数调用混淆之类的东西,像这种技术本质上是在加密和压缩数据,因此提高了数据的不可预测性/无序性,也就是提高了熵。所以我们可以根据熵值捕获文件,熵越大,数据就越有可能被混淆或加密,文件也就越有可能是恶意的,熵是一种简单有效的检测技术,但并不能完全识别所有恶意代码。因此,杀毒软件通常使用熵作为其他技术的补充,以更好地识别潜在的威胁。

-识别项目:
https://github.com/langsasec/File-Entropy-Calculator

-如何降低熵值:

Restorator-添加常用软件光标

自签名、详细信息

详细信息:Restorator添加版本

自签名项目:

https://github.com/secretsquirrel/SigThief
https://github.com/thelostworldFree/Sign-Sacker

特征码定位

找到杀毒软件判断恶意的地方,代码修改或汇编修改进行突破

使用工具VirTest.exe进行自动定位

第三部点击定位特征码前先开启杀软

找到杀毒的函数 可以使用函数平移 或者函数回调

动态API回调

typedef BOOL(WINAPI* ESL)(

LOCALE_ENUMPROCW lpLocaleEnumProc,

DWORD dwFlags

);

ESL eslw = (ESL)GetProcAddress(

GetModuleHandleA("Kernel32.dll"),

"EnumSystemLocalesW"

);
HMODULE hModule = LoadLibraryA("rpcrt4.dll") ;

typedef RPC_STATUS(WINAPI* UFS)(

RPC_CSTR StringUuid,

UUID *Uuid

);

UFS ufsa = (UFS)GetProcAddress(

GetModuleHandleA("rpcrt4.dll"),

"UuidFromStringA"

);

相关推荐
.小小陈.15 分钟前
数据结构3:复杂度
c语言·开发语言·数据结构·笔记·学习·算法·visual studio
包饭厅咸鱼29 分钟前
QT----使用onnxRuntime运行图像分类模型
开发语言·qt·分类
JohnYan31 分钟前
安全密钥(Security Key)和认证技术相关词汇表
后端·安全·设计模式
GOATLong36 分钟前
MySQL内置函数
android·数据库·c++·vscode·mysql
Whoami!39 分钟前
6-1〔O҉S҉C҉P҉ ◈ 研记〕❘ 客户端攻击▸侦查客户端指纹
网络安全·信息安全·客户端侦查
Matlab程序猿小助手1 小时前
【MATLAB源码-第303期】基于matlab的蒲公英优化算法(DO)机器人栅格路径规划,输出做短路径图和适应度曲线.
开发语言·算法·matlab·机器人·kmeans
不爱编程的小九九1 小时前
小九源码-springboot097-java付费自习室管理系统
java·开发语言·spring boot
shark_dev1 小时前
C++新特性——正则表达式
c++
云知谷1 小时前
【经典书籍】C++ Primer 第16章模板与泛型编程精华讲解
c语言·开发语言·c++·软件工程·团队开发
屁股割了还要学1 小时前
【Linux入门】常用工具:yum、vim
linux·运维·服务器·c语言·c++·学习·考研