4.2 Thread_Hiijack_Inject_Load
4.2.1 凯撒加密(上线失败)
虽然可以生成,但是无法执行上线操作。
4.2.2 3DES加密(cs上线成功)
4.2.3 免杀能力
此时Windows Defender免杀失败
4.3 APC_Ijnect_Load
4.3.1 凯撒加密(上线失败)
此时cs上线失败!
4.3.2 DES加密(上线失败)
生成成功,但是上线失败。
4.3.3. 免杀能力(pass)
pass
4.4 Early_Bird_APC_Injetc_Load
4.4.1凯撒加密
上线测试:
4.4.2 免杀能力测试
Windows Defender免杀测试:被杀
4.4.3 3DES加密
双击之后,上线成功:
4.4.4 免杀能力测试
4.5 Direct_Load
4.5.1凯撒加密
双击之后上线:
4.5.2 免杀能力测试
Windows Defender直接查杀
4.5.3 3DES加密
双击之后直接上线:
4.5.4 免杀能力测试
直接被杀
4.6 Thread_Pool_Wait
4.6.2 凯撒加密
双击之后直接上线:
4.6.3 免杀能力测试
4.6.4 3DES加密
双击之后即可上线:
4.6.4 免杀能力
4.7 Fiber_Load
4.7.1 凯撒加密
双击之后上线:
4.7.2 免杀能力
4.7.3 3DES加密
双击之后即可上线:
4.7.4 免杀能力
4.8 CertEnumSystemStore
4.8.1 凯撒加密
4.8.2 免杀能力
4.8.3 3DES加密
双击之后上线正常:
4.8.4 免杀能力
4.9 CertEnumSystemStoreLocation
4.9.1 凯撒加密
双击之后,上线正常:
4.9.2 免杀能力
4.9.3 3DES加密
双击之后,正常上线:
4.9. 4 免杀能力
4.10 CopyFile2
4.10.1 凯撒加密
4.10.2 免杀能力
4.10.3 3DES加密
4.10.4 免杀能力
5. 其他免杀方法
由于篇幅问题,我在这里将后续的所有方法都进行了整理,分别生成了凯撒加密和3des加密之后的文件,并且直接使用Windows Defender进行扫描杀毒,如果有免杀Windows Defender的文件,再进行其上线功能测试。其他的免杀方法如下:
5.1 EnumFontsW
5.2 EnumFontFamiliesW
5.3 EnumFontFamiliesExW
5.4 EnumDisplayMonitors
5.5 EnumDesktopWindows
5.6 EnumDesktopW
5.7 EnumChildWindows
5.8 CopyFileEx
5.9 CreateTimerQueueTimer_Tech
5.10 CryptEnumOIDInfo
5.11 EnumChildWindows
全部使用Windows Defender查杀:
查杀之后,清理电脑,看下有无能够存活的exe:
此时所有的exe全部被杀。。。。。。
6. 总结
在以上的测试中,NimShellCodeLoader提供的21种注入加载方法,而且还有两种不同的加密技术,并且密钥随机,每次生成的文件拥有不同的hash值。但是由于公开的原因,目前无法直接过Windows Defender(2022.03.17)。
因为篇幅原因,我并未对其是否免杀火绒和360进行测试,理论上将其中的绝大多数方法可以过火绒,大部分方法可以过360杀毒。(我并未对其进行测试,只是我的一个猜想)
当然,作者还提供了拓展的思路和指引,如果加上自己的某些修改,理论上将是可以过Windows Defender的,等后续有时间,我再学习学习。
