木马源码免杀两种形式:下载者和加载者
https://www.freebuf.com/articles/system/227468.html
前言
加载者的免杀分为两部分:
- 加载器本身的免杀,加载器源码因为在网上发布许久。特征码已被查杀。
- msf本身的shllcode免杀。需要对msf马进行多次混淆编码。
加载器免杀
这里我不放shellcode,看看网上加载器的特征会被多少AV识别。
在微步的VT 0/25
virustotal的VT 15/71
免杀的过了火绒,但是没过360。
接下来从源码级别看看能不能免杀加载器。
因为这个加载器放在freebuf很久了 360的肯定加入黑名单了。
对下载者做下改动,方便shellcode的填写。
把这个shellcode_buf删掉,火绒无报毒。说明这里是特征码之一。