前言

在刚刚学习免杀的过程中，自己写的shellcode加载器任我如何骚操作在面对360的QVM人工智能引擎总是束手无策，哪怕分离加载bin文件的方式也无法逃避，一开始以为是360对内存进行了扫描发现的shellcode，后来才知道是因为360的QVM引擎对无数字签名、无详细信息是对病毒查杀比较在意的一个点。

详细信息的导入

为了增加程序的可信度，可以通过ResourceHacker复制其他程序的详细信息

选中菜单栏中的操作，选择从资源文件导入

选择一个程序，这里以360主程序为例进入导入详细信息

导入完成后进行点击保存，会生成一个新的程序，自己的程序也就拥有了360程序的详细信息

数字签名的复制

无论签名是否有效，有些厂商会优先考虑机构颁发的数字证书是否有效，使用以下这个项目可以将其他程序的数字签名拷贝到自己的程序上

https://github.com/secretsquirrel/SigThief

此项目是一个python程序，通过执行命令就可以将目标程序的数字签名拷贝到自己的程序上

python sigthief.py -i "C:\windows\system32\kernel32.dll" -t 1.exe -o signtest.exe

新生成的程序也就拥有了目标程序的数字签名

总结

通过以上两种上方式的处理，自己的shellcode加载器就不会再被360的QVM引擎所查杀了。当然其他厂商的杀软可能对这两者的校验更加严格，此方法并不是通用的。