「免杀对抗」利用LLVM解释器执行你的代码

文章预览

原文首发在：奇安信攻防社区 ‍ ‍ ‍ https://forum.butian.net/share/3743 llvm工具链中的lli.exe可以执行中间bitcode文件，通过这一方法在目标环境执行代码，能够绕过Windows Defender检测。 前言 撰写这一篇文章的起因是看到CrowdStrike最近的一篇博客， 文章中介绍一个MSI样本将Mythic的agent编译为LLVM的IR bitcode，在目标上通过LLVM解释器执行。 这种技术似曾相识，.NET代码可以转换为公共中间语言(CIL)在内存中编译执行，Python代码通过解释器执行，JAVA代码通过JVM虚拟机执行，如今C代码也可以转换为LLVM IR语言解释执行。 使用方法 llvm与clang LLVM是一套编译器基础设施项目，以C++写成，包含一系列模块化的编译器组件和工具链，用来开发编译器前端和后端。 其中Clang是基于LLVM开发的一个编译器前端工具，用来解析C/C++代码，将其转换为LLVM中间语言IR，最后通过不同的编 ………………………………