### 前言

最近在学习病毒分析，在玉师傅的指导下完成了一次小实验，遂发出来纪念一下。

### 环境

kali ：192.168.0.108
win10：192.168.0.103

### 开始

1，首先使用msf生成一段shellcode，并将其编译

编译，此时已被火绒直接杀掉，关闭火绒重新编译

2，编译完成后将exe拖入OD得到其汇编代码
进入call eax内部

从灰色背景这一句开始都是shellcode的汇编代码

我们只选比较重要的一段

3，分析火绒的抓取特征
经过分段测试火绒抓取的是这一段

4，达到效果
既然已经知道抓取特征，那么我们只要在其特征之中添加混淆指令即可，比如 push,pop,mov等
测试

测试视频

本文作者：意

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/184719.html