浅析免杀

免杀的基本概念

免杀就是反病毒技术，它指的是一种使病毒木马免于被杀软查杀的技术，由于免杀技术的涉猎范围非常广，其中包含反会变、逆向工程、系统漏洞等和可技术，所以难度很高，其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。(PS:这部分偷的)

免杀手段

先贴图，省去口水话，上图是之前HVV期间的做的思维导图，并没有概括全，我就列举一下上图没有的或者说是欠缺的吧。

混淆思路

其实后来有使用过混淆进行测试，得出结果如下：

（1）强混淆[Github有相关库]+GetProcHash[具体什么名忘记了]+PEB Call 可过(也可能是非HVV期间360不是满血状态)。

（2）混淆+自写Stager

包装方面思路

Tips:套360 icon，改名为 360Tray.exe 之类的，再偷一下 360 签名。

思路总结

白加黑(Shellcode隐写)稳，就是文件多，其他C#免杀效果YYDS（相信很多师傅都知道那个下载手法，不得不说C#真叼），不过.NET版本问题，再其次就是自写Stager个人感觉效果最佳。

坑

文件在落地时候最好选择常规磁盘，本机测马时候发现360之类的对于移动硬盘等外部设备检测校验，随便丢个小文件就会爆(无论黑白)，也可能是物理机马测多了360Buff加成。

其他就是有时候被爆也可能是文件名，，，例如思维导图中提到的白加黑手法，当时就是文件名锅。。。

总结

不断尝试。

原文始发于微信公众号（安全之道）：浅析免杀