CS免杀之信手拈来

前言

最近搞了一个cs免杀的东西出来，主流的杀毒软件，某绒，某0，windows defender都轻松过掉，但是把在测试卡巴全方位版时，成功上线之后就死掉了，我怀疑不是内存查杀，如果是内存查杀，我把shellcode写进去内存的时候，就应该爆肚了，我觉得还是cs上线之后的行为触发卡巴的杀毒机制，就哦豁了。

然后我就在github上面找点项目来参考一下，果然找到一个很不错的项目，这里分享给大家。

免杀实践

项目地址：

https://github.com/ORCA666/EVA2

根据作者描述，这个项目是用来过windows defender的，但是windows defender都能过，那国内的杀软基本是都查杀不出来。

采用的技术有：

- 反调试技术

- 编码的shellcode

- shellode的解密和注入发生在内存中[逐字节]，因此被检测到的机会更少

- 使用系统调用

项目还细心配置了**.profile**文件，真不错嗷

1.首先cs生成shellcode，直接生成c文件格式的，64位的（32位不支持）

把生成的shellcode放入encoder.py 文件

python2 运行，获得加密后的shellcode

2.把加密好的shellcode，直接填入项目中

然后编译x64

3.运行效果

轻轻松松上线

4.测试免杀效果

卡巴全方位还是过不了

果然，还是cs的内存特征太明显了，卡巴已经杀烂了，卡巴牛逼，这坚定了我自己写马的决心了。

总结

在绝对的内存查杀，行为查杀面前，变化，加密，都是没有用的，治标不治本，cs的内存特征已经被杀烂了。

但是还是可以，除了卡巴过不了，大多数还是可以顶顶。

重复作者的一句话，第一件事，不要上传云沙箱！！！！！！！！！

反正我无所谓的，我一般都是用我自己的写的马，我也不会分享出来，因为分享出来，几天就没了，感谢大家理解，当然我觉得一些可以分享出来的，我还是毫不保留的分享出来嗷。

END