好久没更了，今天想起来更新了😋😋😋😋

目录

1.AV && EDR

2.Perfect Syscall？？

3.Truly Perfect ???

---

在开始之前先来展示一下这次的免杀效果

1.AV && EDR

360

天擎EDR

Windows Defender

赛门铁克EDR

卡巴斯基EDR（30Minutes内未被杀，后续未测）

Trelix EDR 

2.Perfect Syscall？？

自从syscall出来到现在也算是有一段的时间了，但是还是公认的在三环比较好用来Bypassedr的一种手法(相比起patch NTDLL).

像地狱之门，天堂之门，TartarusGate这种直接系统调用，好是挺好，但是有个东西叫做栈回溯

当我们call完之后，RIP会直接返回到我们的主程序，这就是一个"特征"，有一些国外的EDR存在栈回溯功能，当扫描到你的程序存在这样的特征的时候，可能会对你的程序记录，或者是直接把你杀掉！

  ：那这咋办

于是我们的间接系统调用就出来了！！！ 

通过Jmp去syscall的地址，我们的调用链会比较完整！！

于是我们的程序就是这样的

这种在github也是有很多项目的，像syswhisper等

但是其实还是有一个问题！！ 我们间接系统调用不就是为了让我们的程序更像一个正常的api调用吗，但是正常上会有人直接去调用NT的函数吗？？？？

好的，GPT告诉我们不会，那我们能不能让这个程序既是syscall(绕过三环API)，又能调用链更加完整呢？？？ 

 ： 答案是有，不然我怎么敢叫做 "Perfect Call"呢？？？ 

思路如下：

在间接系统调用的前提下，我们通过Inline-Hook挂钩一个三环的API，然后让他去进行Indirect-Syscall，这样我们的调用链看起来将会非常完整！！！！

这样就能达到一个这样的效果（算不算是Perfect Call呢？？？😋😋）

事实上也是可以，但是这里我就不放代码了，可以展示部分，核心就在那个GetSystemTime，其实你换一个api也可以，只要不是被hook的就行（或者说换一个非敏感API）

3.Truly Perfect ???

其实调用链这么完整了，他就无敌了吗？？？ 

：肯定不是啊！！！

• 首先，就算你的调用链这么完整了，但是你调用的api和作用不符合啊（调用一个API完成了所有的事情）
• 其次，你的行为，就算你上线了，遇到像赛门铁克这种，你shell whoami 一下，你的beacon就直接没掉了
• 然后，也是最重要的！！！ 你的线程调用栈有问题，或者说你的堆栈有问题！

正常的线程调用栈是这样的

但是你的cs呢？？？

你这个两个地址是什么鬼，我们直接定位去这块内存

很明显，就是反射dll和loader的产物，就算你内存进行加密，但是你的线程调用栈还是不完整，这时候就要用到一个比较强大的技术 "堆栈欺骗" ！！ Spoof Call 

Tips最后补充一下，为什么我一直都是用的EDR或者AV，因为我绕不过XDR啊！！

XDR是最强悍，最顶级，最强大的存在(比起EDR) 就拿 Cortex XDR来看

用CS根本存在对抗的可能，而且上面的卡巴也是（持久化基本上不太可能，还是换C2吧！）