针对VT免杀的vs编译小tips

2025-04-01 14:38:19 12 660


vs编写的马子编译后,上传VT检查一下查杀率时,VT 1/72,发现总是有一个Elastic阴魂不散。。
Malicious (high Confidence)  


为了达到纯绿VT0报毒(手动滑稽),针对此项报毒一直在尝试修改源代码 将主函数注释成空无果,依然是1/72 ???
转变思路修改 vs编译时的参数
总所周知:vs编译时 经常会修改编译器 多线程MT,关闭安全检查GS,关闭生成清单,关闭嵌入清单,关闭调试信息...

经过一番折腾,将之前的 生成调试信息【否】修改成【生成调试信息 (/DEBUG)】


成功 VT 0/73 ~


但打开生成调试信息以后 在原本pe里会包含编译时的绝对路径,说人话就是 如果你在c盘下编译出 可能会泄露你的windows机器用户名 (这也是为什么要关闭调试信息的原因)


那这个问题也很好解决,1. 在其他盘符编译就好了 2. 编译完的pe 使用pe工具删除掉路径字段 ...
如大佬们有更哇塞的编译技巧 希望可以多多指教。

关于作者

T4y1oR10篇文章284篇回复

评论12次

要评论?请先  登录  或  注册
  • TOP1
    昨天 10:13

    因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会

  • TOP2
    昨天 14:44

    pdb无所谓,有些还故意放出来,写个别人的用户名栽赃一下

  • 12楼
    昨天 14:59

    不一般生成relese版本的吗

  • 11楼
    昨天 14:44

    pdb无所谓,有些还故意放出来,写个别人的用户名栽赃一下

  • 10楼
    昨天 13:42
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1
    xc丶Null

    这就实名上网了?这能有什么信息

    2
    Anonymous

    因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会

    4

    有些用户名也没啥信息啊,其次pdb路径可以改随便改一个

  • 9楼
    昨天 12:17

    这个地方360是不是也给杀的

  • 8楼
    昨天 10:35

    感觉保留调试信息更容易被溯源啊

  • 7楼
    昨天 10:13
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1
    xc丶Null

    这就实名上网了?这能有什么信息

    2
    AlyssaVV

    我不懂啊 吹牛的 只是老师傅说不要把这个东西放出来。

    3

    因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会

  • 6楼
    前天 18:27
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1
    xc丶Null

    这就实名上网了?这能有什么信息

    2

    我不懂啊 吹牛的 只是老师傅说不要把这个东西放出来。

  • 5楼
    前天 18:04
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1

    这就实名上网了?这能有什么信息

  • 4楼
    前天 16:52
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1
    1540935409

    这个调试清单会暴露哪些信息等于实名上网啊 我看内网ip打码的我都不是很理解

    2

    内网ip打码是为了项目碰撞,友军很多的

  • 3楼
    前天 16:06

    不定位特征的免杀感觉就是民科 以及有时候VS编出来的会杀,换GCC编出来就不杀了

  • 2楼
    前天 16:01
    AlyssaVV

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。

    1

    这个调试清单会暴露哪些信息等于实名上网啊 我看内网ip打码的我都不是很理解

  • 1楼
    前天 15:33

    把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。