一种基于Shellcode加密的免杀PE程序生成方法

本发明涉及网络安全技术领域，公开了一种基于Shellcode加密的免杀PE程序生成方法，本方法通过将原始PE程序转化为位置无关的Shellcode，对Shellcode与关键加载参数分别进行加密并写入加载器配置文件，通过编译工具对加载器配置文件和用于解密和执行Shellcode的Shellcode加载器主程序文件进行编译，生成免杀PE程序，使得PE程序能够在不修改源码的基础上绕过静态特征分析与常规文件检测机制；同时，Shellcode加载器通过系统调用(syscall)方式直接执行Shellcode，避开了常见API调用路径所引发的行为特征监测。本方法实现了PE程序对传统杀毒引擎和终端检测系统的有效规避，显著提升了免杀PE程序样本的隐蔽性和可靠性，进而有利于提升现有恶意程序检测系统的泛化性。