哈拉少免杀2023

完美的免杀方法
到目前为止，要实现恶意软件的“FUD”，加密恶意代码被认为是个不错的选择，不过有几点要注意：
1.恶意程序在解密时，应当也进行代码混淆
2.当恶意文件在内存中运行解密代码时，我们必须要保证在不重定位绝对地址的情况下进行
3.恶意软件是否在沙箱环境中运行，如果是，则立马停止恶意文件的解密
4.应当只对 PE 文件中的 shellcode 或 只有二进制文件的.text部分进行加密，而不是对整个 PE 文件进行，以便把信息熵和降到最低
以下是恶意软件流程图。

我们的“杀软检测”功能将检测恶意软件是否正在沙箱中被动态分析，如果功能检测到AV扫描器的任何迹象，则它将再次调用主函数或者仅当 “AV Detect” 函数来用。如果没有发现AV扫描器的任何迹象，它会调用 “解密Shellcode” 的功能。