计算地址实现内存免杀技术详解

一、技术背景

内存免杀技术是一种绕过杀毒软件内存扫描的方法，通过动态计算关键内存地址而非硬编码，使得恶意代码在内存中更难被特征识别。

二、关键技术原理

1. 通过FS寄存器获取关键结构

_asm {
    mov eax, dword ptr fs:[0x18];    // 获取TEB(Thread Environment Block)地址
    mov eax, dword ptr ds:[eax + 0x30]; // 获取PEB(Process Environment Block)地址
    mov eax, dword ptr ds:[eax + 0x64]; // 获取特定偏移量处的关键数据
}

2. 关键结构说明

• TEB (Thread Environment Block): 每个线程都有的数据结构，包含线程特定信息
• PEB (Process Environment Block): 每个进程都有的数据结构，包含进程相关信息

三、实现步骤详解

1. 动态获取关键地址

1. 通过FS寄存器获取TEB地址
2. 从TEB中获取PEB地址
3. 从PEB中获取所需的关键数据地址

2. 偏移量调整注意事项

• 不同Windows版本偏移量可能不同
• 需要针对目标系统进行调试确定正确偏移
• 常见偏移量变化点：
  • PEB结构中的LDR_DATA偏移
  • 模块列表指针偏移

3. 内存操作技巧

• 使用计算出的地址直接操作内存
• 避免使用API函数调用，减少特征
• 采用间接寻址方式

四、调试与适配

1. 调试方法

1. 使用调试器(如x64dbg)附加目标进程
2. 查看FS寄存器值
3. 逐步跟踪汇编指令，验证每个偏移量

2. 常见问题解决

• 问题1：代码编译后无反应

  • 检查编译器是否支持内联汇编
  • 验证目标平台(x86/x64)是否匹配
  • 检查偏移量是否正确

• 问题2：在不同系统上不工作

  • 需要为不同Windows版本维护不同偏移量
  • 实现版本检测和分支逻辑

五、完整示例代码

#include <windows.h>

DWORD GetCriticalAddress() {
    DWORD criticalAddr = 0;
    
    __asm {
        mov eax, dword ptr fs:[0x18]    // TEB
        mov eax, [eax + 0x30]           // PEB
        mov eax, [eax + 0x64]           // 关键偏移(需根据系统调整)
        mov criticalAddr, eax
    }
    
    return criticalAddr;
}

int main() {
    DWORD addr = GetCriticalAddress();
    // 使用addr进行内存操作...
    
    return 0;
}

六、高级技巧

1. 动态偏移量计算：通过PEB中的版本信息自动选择正确偏移
2. 多级指针解引用：增加指针解引用层级，混淆扫描
3. 代码混淆：插入无用指令或改变指令顺序
4. 延迟执行：不在入口点直接执行敏感操作

七、防御措施

安全产品应对此类技术的检测方法：

1. 监控FS寄存器访问模式
2. 分析异常的内存访问路径
3. 检测不常见的PEB/TEB访问模式
4. 行为监控而不仅是静态特征

八、注意事项

1. 此技术可能用于恶意用途，仅限合法研究和防御使用
2. 不同Windows版本需要重新验证偏移量
3. 现代EDR产品可能已检测此类技术
4. 建议在虚拟机环境中测试

通过动态计算关键内存地址而非硬编码，可以有效绕过基于静态特征的内存扫描，但需要针对不同环境进行充分测试和调整。