『免杀系列』免杀 Fscan

日期：2024-01-30作者：Corl7介绍：免杀 Fscan 过火绒、3某0、Defender。 0x00 前言 在打攻防时，Fscan落地就被杀，于是就萌生了免杀Fscan的想法。通过学习了免杀相关知识之后，就开始尝试使用各种方法对Fscan进行免杀。 0x01 原生Fscan 通过在Github下载编译好的Fscan，下载的时候就被本地的Defender拦截。 那么Fscan为什么下载就直接被拦截了呢，原因就是使用了UPX壳，UPX壳特征也非常明显，因此已经被各种杀毒软件查杀。 那知道查杀点是使用UPX加壳原因，是不是可以自己下载源码进行编译呢~ 0x02 自行编译 下载源码，使用命令进行编译，编译完成之后，会生成mian.exe。 go build -ldflags="-s -w " -trimpath main.go   对生成的main.exe使用Defender进行扫描，属实没想到直接就过了Defender，只能说Defender确实有点拉。 使用3某0进行扫描，直接被启发式给查杀了。 打了签名之后，3某0就查杀不出来了。 使用火绒进行查杀，火绒直接报HackTool/Fscan.e。 那么，火绒为什么可以直接查杀出来呢，首先感觉肯定有明文的fscan字符串，使用strings工具查找一下。 strings .\main.exe | findstr "fscan"   通过查找结果可以发现，fscan字符串主要出现在github.com/shadow1ng/fscan/Plugins/、github.com/shadow1ng/fscan/WebScan/、github.com/shadow1ng/fscan/common这三个导入包中，还有一处是出现在fscan version:地方。那是不是可以就可以将这三个包，替换成本地导入的方式。 将fscan源码拖入到Sublime中，并打开mian.go，可以看到导入包中存在github.com/shadow1ng/fscan/Plugins、github.com/shadow1ng/fscan/common。 在Sublime中进行全局替换，将github.com/shadow1ng/fscan替换为main，替换为你想替换的任意字符都行。 在common/flag.go文件中，将fscan version替换为sc version，这里也是替换为你想替换的字符就行。 接下来，在GOPATH下的src目录中，新建一个main目录。并将fscan源码中的common、Plugins、WebScan目录，全部拷贝到新建立的main目录中。 再使用编译命令进行编译，编译完成之后，再次使用strings查找fscan字符，可见已经是查找不到了。 将编译完的main.exe再次使用火绒进行查杀，属实没想到又被查杀了。 既然使用go编译会进行报毒，那么换一种编译工具进行编译，这里使用garble对fscan进行编译。 编译完成之后，再将main.exe使用火绒进行查杀，可见已经是查杀不出来了。 0x03 总结 通过实践发现，直接对源码进行编译，编译完成之后，即可过Defender，打了签名之后，即可过3某0，使用garble编译之后，即可过火绒。虽然说简单修改之后，可以过Defender、3某0、火绒，但是仍然过不了卡巴斯基，只能说可以满足日常扫描的需求。还有另外一个较大缺点，那就是体积较大，编译完成之后24M左右。 文章来源：宸极实验室 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END