内容目录
如今免杀已经成为一个重要的话题,现在。免杀简单,云上报非常讨厌(主动防御和启发技术不算)。鉴于此,我想到了个很简单的免杀技术,理论可以过所有杀软的上传。
技术运用的依旧是那个扩大文件体积,然而扩大了却没办法缩小。传播很困难,但是,Winrar给我们了个好处。
增大文件体积就是在尾部添加垃圾资源,达到扩大体积的效果,而Winrar刚好可以压缩这些资源。
比如你把3kb的文件尾部添加垃圾资源到3MB,但是经过压缩依旧是3kb。
但是这样子还是会被上传,依旧过不了云,所以我们就需要Winrar的加密算法。
就算是大牛,想要破解Winrar也不是那么简单的,更何况区区一个杀软的引擎
引擎无法解密带密码的winRAR压缩包,即缩小了体积杀软上传了又没法得到里面免杀木马的资源,更无法去入库或者查杀。
但是winrar不是可执行文件,且需要密码,user一般不怎么会打开,所以我们需要写一个文件头
这个文件头功能很简单,所以可以保证理论就算是被上传了也不会被杀,入库的话我们也没有病毒代码也不会去入库。
功能就是用命令行winrar.exe文件写出资源内的winRAR带增大免杀木马的压缩包用命令行参数进行解压到制定文件夹
随着解压压缩包内的文件也随之增大,恢复扩大的大小,出来时就几百MB,压缩包内几十kb,就这样
经过自己测试可以躲过360等。
也就是说其实外面的exe是个壳,负责解密工作,里面是加密的数据(增大后又带密码压缩的马子)
杀软引擎应该没有那么高级去识别程序内部命令行参数是否为压缩包密码吧,当然如果人工的话就绝对会被发现咯