网安实录，横跨2560公里的爱

我费劲心思帮她写了一份简历修改小程序

测试过了360，360过了云传记录了hash，就变相等于360永久免杀了，使用的方式是本地分离，shellcode在pdf文件中，exe只是打包了加载器准备好520表白小文件。

当她点击一键改简历之后，成功上线。上传准备好的小文件。

远程打开html文件

这里有个小技巧

打开文件的命令使用start，不要直接shell XXX，不然会被360拦截提示可疑风险操作

1、打开文件

eg:

 shell start XXX.exe/XXX.html

不可用：

shell XXX.ex

 shell explorer XXX.exe/XXX.html

针对免杀，其实比较核心的就是一点，改变文件结构！！！要先过的了静态层面的查杀，也就是修改特征（改变文件结构！！！）。

1、shellcode混淆

1.1、异或

1.2、加密（base64、AES等）

2、加载器和shellcode分离

2.1、本地分离

2.2、网络分离

2.3、加签名

3、exe处理

3.1、加壳

3.2、压缩

4、反沙箱

4.1、写入特定的系统校验

    如：已知目标特有的whoami XXX，那就加入一个判断，whoami不是XXX直接退出程序

4.2、摸清楚所需沙箱的特性

    如：写一个只获取各种特征信息（开机时间、虚拟技术相关进程、whoami等），前提是沙箱出网，然后将获取到的沙箱信息进行特征整合，写马子的时候加入判断，存在沙箱特征直接结束