免杀HelloWorld，0/71通过所有杀软

普通程序和免杀程序的区别

不免杀就是代码问题？

有同学编译代码后遇到被查杀，认为就是代码有问题，以为工具被标记，还有参考了网上一些编译器配置但依然无法实现免杀，其实问题远远没有那么简单。

反其道而行之

我们要做的是免杀程序，但资料告诉我们，要启用优化，但事实是我们做的程序与普通程序不同，你就不能那样做。编译器默认是为了性能而启用优化的，它会对我们的代码执行进行了一些调整。而我们在代码中插入的一些干扰或无效代码，这些代码作用在于绕过查杀，如果被优化掉了，那程序就没有按照我们的预期走，因此容易被查杀。

“360连helloworld也不放过？宁可错杀一千不放过一个？”

这你就真的冤枉它了，作为一个杀毒软件，它只是做了它该做的事，就是匹配规则库。

由于大部分人（这里指的是普通程序员和黑客）都使用默认配置编译程序。

我们的思路是：反其道而行之，通过改变常见的编译配置，降低程序被杀软匹配到的可能性。

实操案例

编译免杀核晶：

编译免杀卡巴斯基：

编译AV终结者：

clang++编译AV杀手：

0/71免杀策略

我们采用增量测试，在每次调整编译配置后，进行测试，确保程序能够绕过检测，一旦未通过，则回滚配置，继续测试其他配置项，直至调整至最佳配置。配置按照作用/效果会产生三种结果：

消除VT中的1/71中的W64.AIDetectMalware

仔细思考问题所在，太多案例由于蓝队通过编译时间戳推测程序演变时间轴，我们需要去除时间戳。去后，编译时间为1970-01-01 08:00:00，无法追溯活跃时间。再次编译上传，0/71全部通过。

strip --strip-all helloworld3.exe

最终配置

综上所述，我们的最终配置如下：

付费查阅

篇幅有限，上结果：