【最新免杀手法】针对PE文件的分离免杀对抗工具

文章预览

项目介绍 项目的定位：红队人员的PE对抗辅助工具，具体的对抗思路，就仰仗各位大佬的脑洞了。也欢迎提issue，丰富工具功能。(为了更好的免杀性能，后续会酌情开源) 对于PE头的一些变形技术都比较老了，这次的学习与实践主要是某APT样本用了这保持签名有效的技术，并且支持shellcode的隐藏与识别，可以深挖的花样会很多。 利用哈希校验漏洞感染文件同时不影响签名有效性的POC，在21年就已经披露了，公开利用主要是SigFlip 这个项目。老POC是一体化的loader，我实现了分离的PE修改工具，定制化程度更高，用起来更方便。后续会持续更新深度的攻防对抗。 后续希望把对于PE文件的利用手法都整合到项目中，因此将项目命名为PECracker。 使用方法 目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入，后续继续更新 .\PECracker.exe ( )\ ) ( ………………………………