360QVM各种免杀方法：

360QVM各种免杀方法：

以下免杀方法来源于网络，文章有点老，仅提供参考。

• https://blog.csdn.net/jackey3Lin/article/details/49022045

HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过HEUR/Malware.QVM07.Gen   一般情况下换资源HEUR/Malware.QVM13.Gen   加壳了HEUR/Malware.QVM19.Gen   杀壳 （lzz221089提供 ）HEUR/Malware.QVM20.Gen   改变了入口点HEUR/Malware.QVM27.Gen   输入表HEUR/Malware.QVM18.Gen   加花HEUR/Malware.QVM05.Gen   加资源，改入口点
QVM07加资源一般加到2M会报QVM06再加数字签名，然后再慢慢减资源，这个方法对大部分木马有效果。QVM06 加数字签名QVM12杀壳QVM13杀壳QVM27杀输入表QVM19 加aspackQVM20就加大体积/加aspack压缩

工具使用

运行脚本，input_file填入木马文件，ico_file填入图标文件，number为生成的木马数量。

python icon-exe.py -i input_file -f ico_file -n number

脚本通过生成不同hash的ico并写入程序中，实现批量bypass360QVM，生成文件在output文件夹内。

实现效果 （ResourceHacker.exe来源于互联网，不放心可自行替换）

工具修改版

在原项目360QVM_bypass的基础上，进行修改增加如下功能：

随机文件名加上sigthief签名窃取功能

工具使用：

python3 icon-exe.py -i test.exe -f idea2000.ico -n 2 -s goland64.exe

python3 icon-exe.py -h

Author:pant0m & Hyyrent 修改版 v 1.3
usage: icon-exe.py [-h] -f INPUT_ICON_FILE [-n NUM_ICONS] [-maxc MAX_COLOR_CHANGE] -i INPUTFILE -s SIGTHIEF
默认会生成带签名和不带签名的文件。
optional arguments:  -h, --help            show this help message and exit  -f INPUT_ICON_FILE, --file INPUT_ICON_FILE                        输入ICO文件。  -n NUM_ICONS, --number NUM_ICONS                        要生成的图标数量。  -maxc MAX_COLOR_CHANGE, --maxcolorchange MAX_COLOR_CHANGE                        最大颜色变化范围。  -i INPUTFILE, --inputfile INPUTFILE                        输入目标PE文件。  -s SIGTHIEF, --sigthief SIGTHIEF                        输入要伪造签名exe路径。(必填)