# 杀软原理
最常用的方法就是基于特征的检测、启发式检测、基于行为的检测
通过关键检测,字节序列检测的方式,和已知的恶意软件进行校对,拥有恶意字节序列的程序将被标记成有害。往往通过混淆的方式进行免杀。
启发式检测通过逐步执行二进制文件的指令集,甚至尝试反编译进行源码分析。寻找各种模式和程序调用。
基于行为的检测,基本上就是沙箱,看软件点开后有哪些行文,通过行为特征判断是否恶意。
# 绕过方法
# 磁盘规避
- packers
- obfuscators
- crypters
- software protectors
# 内存规避
- 远程注入
- reflective dll injection
- Porcess Hollowing
- inline hooking
# 实践
powershell 注入 shellcode
他给了个代码,然后通过 msfvenom 生成 shellcode,方式 ps1 里面。然后手动执行的 ==、太捞了!
- shelter:shellcode 注入工具
这个工具有点 6,可以将 shellcode 绑定到原有的程序中,这钓鱼可就太方便了!
值得注意的是,使用如果绑定在程序上,当程序关闭的时候,反弹 shell 也会 die 掉!因此最好使用 msf 或者其他的 C2 进行进程迁移!
set AutoRunScript post/windows/manage/migrate
这样就会在运行后自动迁移进程,保持活跃。
