20145306 《网络攻防》免杀技术 20145306 免杀原理与实践

基于特征码的检测：对一段或多段数据进行检测。如果一个可执行文件或其他运行的库、脚本等有该数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
启发式恶意软件检测：通过恶意代码的一些特征去检测，加入对行为的的检测后称为加入了行为的启发式。

利用msf生成可执行后门文件，用virscan扫描

20145306 《网络攻防》免杀技术
20145306 免杀原理与实践

结果有53%的杀软报毒。

编码后进行virscan扫描，理论上会降低报毒的概率，但实际上并没有多大效果

20145306 《网络攻防》免杀技术
20145306 免杀原理与实践

依然有51%的报毒。

进行六次编码后：

20145306 《网络攻防》免杀技术
20145306 免杀原理与实践

报毒概率依旧很高。

veil-evasion用python语言改写:

20145306 《网络攻防》免杀技术
20145306 免杀原理与实践

报毒概率将为25%。

使用shellcode半手工生成后门文件：

先生成shellcode数组

20145306 《网络攻防》免杀技术
20145306 免杀原理与实践

利用该数组生成一个程序，随后用virscan扫描，结果基本可以实现免杀。

20145306 《网络攻防》 免杀技术 20145306 免杀原理与实践