免杀 | 360传输报毒解决方案 - 新鲜讯息

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

工具介绍

许多安全测试人员发现，开发的程序在本地扫描时不会报毒，但通过微信、QQ等即时通讯工具传输时会被拦截，而将文件解压到本地后又能正常运行。，那应该如何解决？

杀毒软件对通过即时通讯工具传输的小体积可执行文件（通常 <200KB）会进行严格检测，认为可能是恶意代码片段。通过增大文件体积（填充无害数据），可绕过杀软的传输检测机制。话不多说直接上python代码：

#!/usr/bin/env python3"""EXE文件体积增大工具 - 通过追加空数据安全扩展PE文件"""import osimport sysimport argparsedef expand_exe(input_file, output_file, size_mb):    """    扩展EXE文件体积    参数:        input_file: 输入EXE文件路径        output_file: 输出EXE文件路径        size_mb: 要增加的MB数    """    # 转换为字节数    additional_bytes = size_mb * 1024 * 1024    try:        # 读取原始文件        with open(input_file, 'rb') as f_in:            original_data = f_in.read()        # 写入新文件(先复制原内容)        with open(output_file, 'wb') as f_out:            f_out.write(original_data)            # 追加指定大小的空字节            f_out.write(b'x00' * additional_bytes)        print(f"成功: 文件已扩展 {size_mb}MB")        print(f"原始大小: {os.path.getsize(input_file)/1024/1024:.2f}MB")        print(f"新大小: {os.path.getsize(output_file)/1024/1024:.2f}MB")    except Exception as e:        print(f"错误: {str(e)}")        sys.exit(1)def main():    parser = argparse.ArgumentParser(description='EXE文件体积扩展工具')    parser.add_argument('input', help='输入EXE文件路径')    parser.add_argument('-o', '--output', help='输出EXE文件路径(默认: 原文件名_bloated.exe)')    parser.add_argument('-s', '--size', type=int, default=10,                        help='要增加的MB数(默认: 10MB)')    args = parser.parse_args()    if not os.path.exists(args.input):        print(f"错误: 文件 '{args.input}' 不存在")        sys.exit(1)    output = args.output if args.output else              os.path.splitext(args.input)[0] + '_bloated.exe'    expand_exe(args.input, output, args.size)if __name__ == '__main__':    main()