Shellcode Loader免杀

前言

xdm国庆节快乐，加班结束，终于到放假的日子了

正文

查找查杀点

先放置完整的代码，百分百被杀

从头开始，删除

发现加载shellcode的时候报毒了

去除特征

按照网上的做法，有两个函数可以做到

• exec
• eval

他们的区别为，exec可以做到一次执行多条语句，而eval只能执行一条语句，同时eval无法做到赋值的操作 这里用eval演示一下 先简单的base64一下

然后在脚本中

继续往下走，继续报毒

重复一下操作，将创建进程并激活这部分的代码也进行base64

这里插一个题外话，python去实现其他的加密方法比其他语言简单很多，所以这里为了演示效果，也只是用eval去执行单条base64编码语句

实际操作的时候可以考虑用exec的方式，然后使用其他加密的方法来混淆（当然还是不推荐用python做免杀）

尝试一下上线

参考文章

cs分离+混淆免杀 https://mp.weixin.qq.com/s?__biz=MzIwOTMzMzY0Ng==&mid=2247484570&idx=1&sn=1c4e459c07e3e57ee240fd131e65e972&chksm=9774387ba003b16d04ee632c4e271b8a0121a174016dacf1647e3e60c4a1e5d8e3f2b86969bc&scene=21#wechat_redirect python分离免杀 https://zhuanlan.zhihu.com/p/492135330