BypassAV：笑谈杀软与360的二次分析

0x00 写在前面的话

以前闲着没事的时候，就拿着手里的东西对着杀毒软件一阵捣鼓，搞了个贰叁伍控制系统开源在Gitee上，后面因为一些个人原因，被迫把仓库清空了。现在有了一定的基础，再次看着以前捣鼓的东西，不经意间觉得自己真的很傻，哈哈。

CSDN上面发了一篇文章，攻防对抗:如何巧妙复现360添加受信任文件，算是对曾经的天真想法做出的弥补。不过添加受信任文件的前提是要结束360的主动防御和主要进程，结束后替换自己的白名单文件就可以。现在已经有R3下结束360的办法，不过只支持部分系统。类似结束火绒的方法，360也同样适用。

火绒分析

现在大多数利用的是DLL劫持的方法，通俗的说就是白加黑，也就是行话中的多文件。除了部分已经被360云大脑定位的白文件，其他的其实都可以利用，不过有个前提条件，那就是行为分析。

0x01 云鉴分析和用户行为

这里呢我们就举360为例子吧。

静态查杀很容易，Pass掉云鉴定也不难

bypass

360的云安全计划，可以说是起到了极大的保护作用，他的触发机制非常的繁琐，所以R3上想要解决云鉴定的这种行为也是不是很简单。本机测试，一个接近10MB的文件，都被360上传，如果没有特殊的要求的话，没人会去做这么大的东西。不过我们可以站在靶机用户这边想一想：

现在我正在下载一个文件，按照网页上的描述他应该有什么什么功能，如果文件很小他又会怎么想？打开文件后啥都没有，它又会咋想？但凡有一点经验的人都会疯狂的用安全软件检测系统，除开那些只会开关机的人。

如果不是为了养鸡场，而是站在一个用户的方面去想这个问题，下载一个大文件也是理所应当。据我了解的，目前大部分养鸡的IP段都在广东一带，而大部分鸡基本上都是有公网ip的，（之前爆出的华为路由器端口漏洞除外）。大部分的用户都没有开通公网IP，上次我也打电话问过电信那边，开通需要用户确认并且承担相应的风险，一般没有人会干这种事，所以又何必要去追求文件大小和文件分布情况呢？

大多数人的了解也许都是被当年的某七和某特所影响，现在的某七坛主曾经在我这里拿过文件，基本上是搞不懂代码的，大部分的理解也只是限制与以前红客对于杀软的理解。

他们告诉你的免杀处理，无非就是区段处理和特征处理，关于行为的分析真的很少，毕竟有些东西当年为了拓展影响力和留一手，都将它简化成了通俗易懂的代码块，复制粘贴就完事了，类似于脚本小子这一类吧。

就像群里某个人用了我在gitee库上发布的bypass_inject，憨憨地告诉我你这个怎么运行不了，咋运行的时候被360报毒了。确实当时我的心中有一万只草拟吗路过，我给出的是动态行为分析绕过，你给我看个静态报毒啥意思，SDK都没有你编译啥？确实，这就有点像甲方和乙方，甲方想的是东，乙方做的西。

你给他解释，他也不会听得，要的就是个结果，确实，这就是现在社会的现状，这二十多年我还是算是懂了吧。

0x02 某产品的辛酸史

我就这样通俗的解释下吧，这里咱们以2345为例。

当年的2345还没有加入安全联盟的时候，其实就是被各大杀毒软件当做是病毒（Virus）的。当时2345的行为操作其实可以算得上是行内的顶尖高手，就连某快播都要礼让三分。绕过各大杀毒软件并且静默下载各种流氓软件，可以说是无恶不做，当时国内很多的远控样本基本上都是抄的2345和某快播的。

但是有一点，为什么没人去主动卸载他呢？有一点重要的原因，例如浏览器，虽然他要下载其他推广软件，但是我能用啊，而且还挺好用的，就和快播差不多。用户懒得卸载也有舍不得卸载，所以说后面杀软有了相应的拦截措施，也有很多用户没有卸载掉2345的其他软件。

现在2345的杀软的研究人员，据说是从哪个公司跳槽的，也不好说，毕竟后面2345自己搞了个杀软，学起了我们的马爸爸。

确实啊，只有当你真正的去编程，去了解这方面，你才会重新去理解它、认知它，更正自己的想法。

0x03 Bypass360主动防御

讲了这么多，下面我们在谈谈这次Bypass360的过程吧，后面会逐渐在Gitee和Github上面开源一些项目，多了不行，少了也不好，毕竟总有人会说三道四，牛头不对马嘴。就算是放出了R3下的方法，也总会有人拿着为啥360会报毒，毕竟他连行为拦截和静态查杀都分不清，又会有多少人会去用它的代码呢？除开浏览次数多的，少的也是能行的，比如我在谷歌上找的一点东西。

这段代码通过系统计划任务来绕过主动防御，这个行为目前是被允许的，并没有在拦截规则里（仅限于这段代码的方法）。

测试靶机在全程联网并且运行360云鉴的情况下，该段代码还处于白名单阶段，成功添加了系统计划任务，并且是以System身份添加，360的系统加速项也并没有屏蔽掉添加的计划任务。

经过测试后，全部Bypass

显示

拦截全部开启的情况下添加成功