1.源码免杀是接源最高级别的免杀吗 还是重写源码 是最高级别的免杀
2.源码免杀 要什么基础？
3.免杀动态对抗之syscall[源码分析]

源码免杀是最高级别的免杀吗 还是重写源码 是最高级别的免杀

       源码免杀和外（内）部免杀是同一技术层级的。区别在于外（内）部免杀只有生成的码免码免小马来做免杀 而源码可以直接修改远控来达到免杀目的 如果想自己用并且有大量时间 也可以考虑重写源码 注意（修改是在别人源码的基础上改，重写是杀源杀教自己重新架构编写，难度和工程量不同） 谢谢采纳！接源

源码免杀 要什么基础？

       如果是码免码免想学免杀，我建议你去甲壳虫。杀源杀教112源码我去年7月份在那里泡了半个月，接源就可以做一些冷门远控的码免码免免杀，当时过掉 如果你喜欢编程，杀源杀教想接触源码方面的接源技术，建议去小熊论坛。码免码免 甲壳虫的杀源杀教VIP教程挺不错的，虽然都是接源网上有的知

免杀动态对抗之syscall[源码分析]

       基础概念

       操作系统分为内核和应用层，从R0-R3，码免码免R0是杀源杀教消灭星星算法源码内核，R3是用户层。Windows中日常调用的API都是R3抽象出来的接口，虽然Win API它也是R3接口，但由于Windows的设计思想就是高度封装，实际上的R3 API是ntdll.dll中的函数。

       我们调用的Win API都是kernel.dll/user.dll中的函数，最终都要经过ntdll.dll。php体温上报源码

       逆向学习一个函数，选定CreateThread，ntdll中的对应函数是NtCreateThread。可以看到首先给eax赋值（系统调用号SSN），然后再执行syscall。

       EDR的工作原理是对Windows API进行hook。一般使用inline hook，南通到盐城源码即将函数的开头地址值改成jmp xxxxxxx(hook函数地址)。知道了syscall的调用模板，自己构造syscall（获取SSN，syscall），即可绕过EDR对API的hook。

       学习不同项目对应的手法，如HellsGate、地产租售平台源码TartarusGate、GetSSN、SysWhispers等。这些项目通过遍历解析ntdll.dll模块的导出表，定位函数地址，获取系统调用号SSN，实现动态获取SSN。

       使用直接系统调用或间接系统调用，如SysWhispers系列项目的直接系统调用（手搓syscall asm）和间接系统调用（使用用户态API，如kernel.dll中的API）。系统调用号SSN在不同版本的系统下是不一样的，可以参考相关技术博客整理的列表。

       SysWhispers2使用随机系统调用跳转（Random Syscall Jumps）避免“系统调用的标记”，通过SW__GetRandomSyscallAddress函数在ntdll.dll中搜索并选择一个干净的系统调用指令来使用。

       SysWhispers3引入了egg技术（动态字符替换，汇编指令层次的混淆）和支持直接跳转到syscalls，是spoof call的变体，绕过对用户态asm文件syscall的监控。

       HWSyscalls项目通过kernel gadget，跳到ntdll.dll中做间接syscall，更彻底地实现了间接系统调用。

       这些项目的实现涉及软件中自定义堆栈流程、硬件断点等技术，通过内核函数调用、动态字符替换、异常处理机制等，绕过EDR检测和系统调用监控，实现免杀动态对抗。