使用替代的x64汇编操作码修改二进制文件中的机器代码以规避杀毒软件

admin
admin
admin
0
文章
0
评论
2026-05-11 07:07:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Beatrice.py工具通过替换相同大小的x64汇编操作码修改二进制文件机器代码,旨在绕过YARA规则和内存扫描检测。该工具会严格匹配机器代码确保二进制文件功能不变,但无法修改API调用或完全规避行为检测,建议结合其他规避技术使用。 综合评分: 71 文章分类: 恶意软件,免杀,安全工具,二进制安全

cover_image

使用替代的 x64 汇编操作码修改二进制文件中的机器代码以规避杀毒软件

Ots安全

2026年5月7日 13:59 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

为了绕过诸如 YARA 规则之类的检测方法(这些规则会查找特定字节和内存扫描器),Beatrice.py 会使用相同大小的替代 x64 汇编操作码来修补二进制文件中的机器代码。该工具还旨在修改包含字符串和其他数据的可执行文件或复杂二进制文件的机器代码,它会严格匹配机器代码以避免破坏二进制文件。

用法

python3 beatrice.py

@@@@@@@ @@@@@@@@ @@@@@@ @@@@@@@ @@@@@@@ @@@ @@@@@@@ @@@@@@@@ @@@@@@@ @@@ @@@
@@@@@@@@ @@@@@@@@ @@@@@@@@ @@@@@@@ @@@@@@@@ @@@ @@@@@@@@ @@@@@@@@ @@@@@@@@ @@@ @@@
@@! @@@ @@! @@! @@@ @@! @@! @@@ @@! !@@ @@! @@! @@@ @@! !@@
!@ @!@ !@! !@! @!@ !@! !@! @!@ !@! !@! !@! !@! @!@ !@! @!!
@!@!@!@ @!!!:! @!@!@!@! @!! @!@!!@! !!@ !@! @!!!:! @!@@!@! !@!@!
!!!@!!!! !!!!!: !!!@!!!! !!! !!@!@! !!! !!! !!!!!: !!@!!! @!!!
!!: !!! !!: !!: !!! !!: !!: :!! !!: :!! !!: !!: !!:
:!: !:! :!: :!: !:! :!: :!: !:! :!: :!: :!: :!: :!: :!:
 :: :::: :: :::: :: ::: :: :: ::: :: ::: ::: :: :::: ::: :: ::
:: : :: : :: :: : : : : : : : : :: :: : : :: :: ::: : :

Usage: beatrice.py<binary>
-h&nbsp;for&nbsp;usage&nbsp;and&nbsp;flags
-v&nbsp;for&nbsp;Verbose&nbsp;mode
-s&nbsp;for&nbsp;Safer&nbsp;mode,&nbsp;normalmode&nbsp;already mostly safe but still may&nbsp;break&nbsp;some binaries

这个工具的功能

它将:

  • 生成简单的 x64 汇编指令及其替代指令的模式,将它们转换为机器代码,如果匹配则修补机器代码。
  • 构建不同的汇编指令列表,其中包含立即数和其他不易转换为模式的指令,并对其应用适当的更改。
  • 尽可能采用其他方式对指令进行编码。
  • 创建一个功能完全相同的二进制文件,但应用上述补丁,这将有助于绕过 YARA 规则和一些防病毒解决方案。

它不会:

  • 成为一种万能的解决方案。
  • 仅在专业版中可修改字符串
  • 修改对 Windows API 函数的导入或调用,这可能会被某些杀毒软件和 EDR 检测到。
  • 完全绕过基于行为的检测。虽然这种方法修改了机器代码,足以偶尔欺骗基于行为的检测,但不会改变其核心功能,因此仍然存在被检测的可能性。

虽然该工具本身可以使某些二进制文件绕过杀毒软件,但最好将其与其他规避技术结合使用(例如:修改 shellcode 以便与加载器一起使用,借助自定义或修改的工具)。

项目地址:

https://github.com/raskolnikov90/Beatrice.py

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Ots安全 《使用替代的 x64 汇编操作码修改二进制文件中的机器代码以规避杀毒软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0