针对VT免杀的vs编译小tips
vs编写的马子编译后,上传VT检查一下查杀率时,VT 1/72,发现总是有一个Elastic阴魂不散。。
Malicious (high Confidence)
为了达到纯绿VT0报毒(手动滑稽),针对此项报毒一直在尝试修改源代码 将主函数注释成空无果,依然是1/72 ???
转变思路修改 vs编译时的参数
总所周知:vs编译时 经常会修改编译器 多线程MT,关闭安全检查GS,关闭生成清单,关闭嵌入清单,关闭调试信息...
经过一番折腾,将之前的 生成调试信息【否】修改成【生成调试信息 (/DEBUG)】
成功 VT 0/73 ~
但打开生成调试信息以后 在原本pe里会包含编译时的绝对路径,说人话就是 如果你在c盘下编译出 可能会泄露你的windows机器用户名 (这也是为什么要关闭调试信息的原因)
那这个问题也很好解决,1. 在其他盘符编译就好了 2. 编译完的pe 使用pe工具删除掉路径字段 ...
如大佬们有更哇塞的编译技巧 希望可以多多指教。
关于作者
评论13次
因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会
pdb无所谓,有些还故意放出来,写个别人的用户名栽赃一下
其实没必要追求vt0....而且你这样样本都泄露了
不一般生成relese版本的吗
pdb无所谓,有些还故意放出来,写个别人的用户名栽赃一下
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这就实名上网了?这能有什么信息
因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会
有些用户名也没啥信息啊,其次pdb路径可以改随便改一个
这个地方360是不是也给杀的
感觉保留调试信息更容易被溯源啊
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这就实名上网了?这能有什么信息
我不懂啊 吹牛的 只是老师傅说不要把这个东西放出来。
因为pdb有你的编译路径,可能会包含你的用户名,所以就容易被溯源,不少APT就忘记关掉这玩意,随便说一句这东西搞免杀都必关的,而且0查杀和这些选项关xi不是很大,换个gcc或者mingw就不杀了,vs就是编译太多才被标记了,你就算是helloword都会
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这就实名上网了?这能有什么信息
我不懂啊 吹牛的 只是老师傅说不要把这个东西放出来。
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这就实名上网了?这能有什么信息
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这个调试清单会暴露哪些信息等于实名上网啊 我看内网ip打码的我都不是很理解
内网ip打码是为了项目碰撞,友军很多的
不定位特征的免杀感觉就是民科 以及有时候VS编出来的会杀,换GCC编出来就不杀了
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。
这个调试清单会暴露哪些信息等于实名上网啊 我看内网ip打码的我都不是很理解
把调试清单信息放出来可太狠啦,等于实名上网(吹牛的)。