rust 免杀记录学习

实现如下

• BypassAv_demo1: uuid加载shellcode
• BypassAv_demo1_2: 基础shellcode 执行
• BypassAv_demo1_3: shellcode静态混淆加密 + 导入表混淆 + 禁用 Windows 事件跟踪,ETW禁用杀软和uuid加载器检测的比较频繁,最好不加

过360 火绒

vt检测出来了3个,加ETW禁用vt检测12个。。

• BypassAv_demo2: 简单syscall示例,远程线程注入
• BypassAv_demo2_1: syscall + apc注入

windows defender,卡巴,360,火绒运行时能成功上线,但后续的cs指令由于cs带有特征所以卡巴会检测出来。 成功上线