7-保护

一、反沙箱和反调式

沙箱是一个隔离的、受控的计算环境，也算是虚拟机的一种。它可以模拟真实系统运行环境，将未知程序置于沙箱中，观察程序运行全流程，找出潜在的恶意代码段，并且拥有动态行为监控、系统调用拦截、网络流量捕获等功能。

如何进行反沙箱和反云查杀，无外乎就是 1、 执行前检测环境信息： 如CPU核数、CPU温度、存储空间 2、消耗沙箱资源：因为云沙箱的资源是有限的，不可能对一个程序扫描太长的时间。所以可以先消耗一段时间的资源再执行自身的功能。常用的方法有：睡眠、多重循环

因为这方面的知识比较简单，且网上的资料很完善，我就不重复造轮子了，具体看我下面给出的文章。

还是那句话，用了这些技术可能提高免杀性，也可能增加被杀的可能。

参考文章：

1、 免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天_如何绕过杀软执行exe命令行-CSDN博客

2、反沙盒？一文足以 - 先知社区

3、反沙箱 - 反虚拟机、反沙箱技术整理汇总 - 《恶意代码分析》 - 极客文档

二、加壳

爱盘 - 最新的在线破解工具包

加壳的目的是防止逆向、防止篡改、运行时的保护、反虚拟机、反调式等等功能。网上有人推荐用upx加壳，压缩体积，但是在免杀领域中upx是最不应该使用的工具，因为它的特征已被杀软收集。也有人推荐shielden工具，但是呢有太多人的用它给木马加壳，也已经被杀软收集特征了。在此我推荐使用冷门的加壳软件或者比较知名的正规加壳软件，这样杀软不会乱杀我们的木马。

工具：

1、 The Enigma Protector v6.80 x64 - 吾爱破解 - 52pojie.cn，这个工具是通用的加壳软件

2、NET Reactor工具下载：文件。密码：52pj

当然也有很多加壳工具，效果如何就等着读者去尝试了。

2.1 Enigma

①下载后一个有三个文件，其中是 The Enigma Protector v6.80 x64.exe 是安装包，license5_x64.dat 是获取license的

②点击 The Enigma Protector v6.80 x64.exe 进行安装

③安装好后，将 license5_x64.dat 放到安装目录里

④改成中文

⑤需要什么保护就勾选即可。

2.2 NET Reactor

C # 使用的是JIT编译机制 ，JIT（Just-In-Time）是.NET运行时将中间语言（IL）动态编译为本地机器码的关键机制，实现了代码的即时优化和跨平台执行，java也是用这种机制，所以它们编译后的二进制文件很容易被反编译，进而分析源代码。

NET Reactor这个是专门用于给C# 加壳的工具，效果还不错。在快速设置里有很多保护选项，没必要全选，因为勾选太多可能导致保护后的程序无法运行。