(1)对ShellCode进行加密处理,如异或、转置、AES加密、Base64编码、多轮加密等。 (2)对加载器代码进行加密或编码处理,使其静态特征不再明显。 (3)分离免杀,将ShellCode和加载器代码放置于网络上,通过下载的方式进行加载,可进一步免除静态特征。 (4)通过进程注入或借助傀儡进程进行加载和运行。 (5)
免杀基础(1)-免杀技术及原理 0x00 免杀的基本概念 免杀就是反病毒技术,它指的是一种使病毒木马免于被杀软查杀的技术,由于免杀技术的涉猎范围非常广,其中包含反会变、逆向工程、系统漏洞等和可技术,所以难度很高,其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。 0x01 杀毒软件检测方式...
完美的免杀方法 到目前为止,要实现恶意软件的“FUD”,加密恶意代码被认为是个不错的选择,不过有几点要注意: 1.恶意程序在解密时,应当也进行代码混淆 2.当恶意文件在内存中运行解密代码时,我们必须要保证在不重定位绝对地址的情况下进行 3.恶意软件是否在沙箱环境中运行,如果是,则立马停止恶意文件的解密 4.应当只...
Python:语法简单,写起来容易,大部分学免杀的新手都会 Python,认为 Python 容易,自己也懂Python,于是从 Python 开始学免杀,而结果恰恰相反,Pyhon 写起免杀来比C/C++还要复杂,在 C/C++中可以直接调用WindowsAPI,在 Python 中则要通过一层转化间接调用 Windows API,而且 Python 打包的程序报毒比较高,体积比较大。 Go...
从年初开始接触免杀,学习了很多理论;也在攻防项目中,分析了很多前辈们写的免杀马;感觉自己能行了,于是从今年8、9月份左右开始想写自己对免杀的一些总结,想从一个比较高的角度概况出所有的免杀思路,一方面给同在入门期的新手们一个学习思路,一方面记录下自己的release,奈何太菜有心无力,看着自己构画的大纲,又觉得自...
正常执行且可以使用任何功能,即已免杀 结尾 该方式是其中一种处理方式,实际还有很多,例如加壳、花指令、虚拟机对抗、抹去特征等等... 最终的目的只是让杀软不认识,无法识别。 这个方法在360适用,在火绒可能就会被杀的厉害。还是需要根据实际情况去做相应的处理。
我们windows api的调用,通过层层调用最终还是会进入ntdll的底层函数的调用,再通过syscall快速调用进入0环实现的代码,下面我将记录一些syscall的底层基础知识,最后的代码实现是通过现成项目直接快速调用敏感api,这种现成syscall的项目很多,但是感觉都比较久了免杀效果不太好,得自己再魔改魔改...
免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的...
免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术...
只是通过上面的几个实例和大家探讨一下基本的PowerShell免杀思路。 而且PowerShell不仅仅可以做到木马执行上线CS操作,还可以做提权、加用户等利用方式,有兴趣的可以自己探索一下。 0x04 总结 关于PowerShell有很多的利用方式,我也是在别人的基础上去慢慢摸索,要学的东西还很多,不懂的东西还是太多,以上实例,只测试火绒...