冰蝎（behinder）免杀魔改

alyssa

准备环境
将冰蝎的jar包进行反编译，网址https://www.decompiler.com/ ，拖拽上去即可，等一段时间将反编译文件下载。



2、反编译的文件在idea工具中打开，使用1.8的JDK
当在使用 JavaIDEA 运行一个包含 JavaFX 的 JAR 包时出现缺少 JavaFX 运行时组件的错误时，可能是因为 JavaIDEA 默认情况下不包含 JavaFX 运行时组件。JavaFX 在较新的 Java 版本中已从 JDK 中分离出来，并成为一个独立的模块。所以这里使用1.8版本的JDK。



随后我们将源码拖入到Behinder中，再新建一个lib目录为库



然后我们将冰蝎jar包复制到lib库中，避免不必要麻烦我把整个目录都拖到lib中了，还需要冰蝎原生的data.db文件到项目的目录里



然后使用IDEA左上角文件下拉选项-项目结构-模块，点击依赖选项



然后点击工件选项，点击加号，选择JAR-来自具有依赖项的模块-弹出从模块创建JAR窗口，选择主类入口，搜索main入口函数。注意：如果找不到main入口函数，可能需要重启IDEA或更换1.8其他版本JDK。



到这里环境就搭建完成了，记得应用选项。

流量特征修改

这里我们我们使用抓包工具对冰蝎原始数据包进行抓取分析，首先我们要知道WAF和一些杀软为什么杀我们上传的Webshell文件，首先是代码中其目的性太强，如一些敏感函数提交如eval函数等，还有上传后工具无法连接问题，最大的原因就是流量特征问题，如请求头中的UA，使用网传免杀工具会很快失效，其原因就是人群使用次数太多代码已经被分析出病毒和流量特征问题，现在进入正题，我们需要在IDEA中找到其特征，首先抓包Webshell连接流量。（具体流量特征分析参考上一篇文章）





可以看到请求头中Accept接收类型、User-Agent用户使用客户端信息、Content-type这几种都是事先在冰蝎中定义好的我们可以挨个去搜索进行修改，查找文件内容



可以很直观的看到定义的请求头，修改的时候我们需要将修改的为文件全部放到src文件夹中进行修改，不需要修改的文件就删除掉，因为构建jar包都是覆盖的，src文件内越大就越慢，这里就留下net文件中的core和resource文件夹



修改完后构建工件再去运行，发现成功修改。







加密协议的添加，目前很多加密协议已被杀软识别



此协议也是一样落地就会被杀，我采取在协议生成改掉其webshell特征躲避杀软。