不会写代码，但你可以免杀三件套

alyssa

1. 你一定要明白，眼前现成的大概率是要花钱的，有的东西你可以没有，但你需要学会组装。

2. 你不会写代码，但你要明白免杀其中的逻辑。

3. 即使你会写代码，花费了大量的时间和精力去写那些加载器，最后你发现也写不过别人。

4. 看的项目多了，尝试的多了，就知道哪些是好代码，哪些项目一看就能成。所以我们要做的就是实操，实操是检验项目的唯一标准。

5. 少花点时间在群里吹水，有那功夫，我就挣了20。



免杀是门说复杂又复杂的技术，因为技术繁多，语言繁多，但说简单它又简单。



几点建议：



1. 远控方面，全球top100的C2项目，哪个最好？综合比较，还是花钱的好。

Cobaltstrike，商业的，4900 美元，还有一个一万多美元。

我们都选择是什么，原则就一句话：“能用商业不用开源，能白嫖不花钱。”

原因很简单，因为它有人长期维护。

不要去选择什么大灰狼什么的，经过测试，同样的bin，同一种方法同一套操作，过不了某60，而cs的可以，这是不是特征。所以为什么不去布一个呢？



2. shellcode 加载器，满大街是吧，一搜一大把，evasion，av bypass，shellcode loader，obfu，FUD，EDR 等等关键词，我们都能找到各种c/c++，c#的，python的，go的，nim的等等等等，补充点，稀有语言免杀看起来不错。，如何分析哪些是好项目，哪些是垃圾项目，很简单，看它使用了某种技术没有，比如它介绍了某种技术，那你可以试一试，关键词是什么，常规的就是进程注入，远程线程注入，进程空缕，什么APC等等

如果它还带一点沙箱，那就更好了。

或者他用了一些新鲜的非常规的技术，那可以试试，比如把shellcode 藏在resource 文件中。

对了，补充一点，cs 中 payload系统调用不要选择，会被某60 杀滥，进程注入和远程线程注入直接被某60 核晶和火绒查杀，即使你这个静态查杀没问题，他就是要认定你是恶意。



3. 再有就是加壳，加壳这种工具很多吧，混淆，加壳，都属于对程序的后期处理，这很重要，不要一生成就往里面丢，某60就喜欢这种裸奔的程序，出个衣服再出门不好吗，这叫熵杀毒软件根据这个判断，我们需要减少熵，关键词entropy，没写错吧，怎么减少，那就是签名和填写信息。

补充一点很重要，那就是加壳，关键词packer，加壳类似加密一样，反正都是加，为何不多加几个呢。你放心，它都会运行，实在不能运行多换几个。



4. 最后就是签名，签名工具多呢，sign，python 的那个， manle？单词好像是这个，用过还行，还有挺好的sign sacker，这些项目都挺好，比如sign sacker，带个界面，一键操作，这就很人性了，很方便。有时候界面搞不了的就用前几个可以脚本试试。



是的，你会问为什么没有工具链接，这里没有工具，武功秘籍千千万，心法却很少，我觉得后者更重要。



凌晨手机敲的，很累。



最后附上截图，研究了蛮久的感悟，请多批评留言。


测试于 1117 日夜间…






完…