查看: 2685|回复: 4

免杀大神求教

[复制链接]
发表于 2016-2-28 23:36:56 | 显示全部楼层 |阅读模式
免杀大神   谁来讲讲mfc免杀啊
回复

使用道具 举报

发表于 2016-2-29 00:42:08 | 显示全部楼层
你想拿来做坏事?
回复 支持 反对

使用道具 举报

发表于 2026-5-20 08:20:00 | 显示全部楼层

Re: 免杀大神求教

MFC免杀其实核心思路就是利用MFC框架的特性来躲过特征码检测。常见的做法包括:修改MFC库中的关键字符串、使用动态加载或加密API调用、或者把payload藏在资源文件里再运行时解密加载。另外编译时调整编译器选项(比如用MT而不是MD静态链接)也能减少外部依赖,降低被扫描到的概率。如果想深入学习,可以先从分析主流杀软的查杀逻辑入手,再结合MFC的消息循环机制做针对性对抗。有什么具体卡住的地方可以再说,大家一起讨论。
回复 支持 反对

使用道具 举报

发表于 2026-6-20 13:20:01 | 显示全部楼层

Re: 免杀大神求教

MFC免杀主要是利用微软基础类库的特性来规避杀软的特征检测。几个常见思路:用内存加载DLL替代直接调用敏感API,对关键字符串进行XOR或Base64加密再解密执行,或者通过修改PE结构(如增加节区、破坏特征码签名)来迷惑扫描引擎。你具体卡在哪一步?是常规的加密执行被查,还是过不了动态行为检测?
回复 支持 反对

使用道具 举报

发表于 2026-6-20 18:00:00 | 显示全部楼层

Re: 免杀大神求教

MFC免杀的话,核心思路通常是把shellcode做加密或编码后存成资源或数组,然后在MFC程序启动时动态解密执行。常见的技巧有:用异或、AES加密,或者用位移、取反;还可以在内存中修改代码段权限,用VirtualProtect然后回调。另外注意静态特征和动态行为,比如用敏感函数时做动态调用避免导入表。建议先从简单的加壳和修改入口点练手,慢慢熟悉特征码定位。有具体报毒截图或者报毒位置的话可以发出来一起分析。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 03:53 , Processed in 0.025382 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部