Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒:2 1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀.2 1.4. 远程监控技术一样.2 2. 1.3 免杀的发展史2 3. 免杀技术的简单原理2 3.1. 现在的免杀主要分为3种,其中的一种便是行为免杀,也就是通过控制病毒木马的行为来达到躲过杀…

目录 1.实验内容 2.基础问题回答 3.实验内容 任务一:正确使用免杀工具或技巧 使用msf编码器,msfvenom生成如jar之类的其他文件 使用veil-evasion 自己利用shellcode编程 加壳处理 任务二:通过组合应用各种技术实现恶意代码免杀 对shellcode进行免杀变形 veil+加壳 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 4.实践总结与体会 5.离实战还缺些什么技术或步骤? 1.实验内容 1.正确使用msf编码器,ms…

2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 通过组合应用各种技术实现恶意代码免杀 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 二.实验步骤 任务一 正确使用免杀工具或技巧 1.使用msf编码器msfvenom生成后门程序 使用msfvenom -p windows/m…

2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf编码器生成后门程序及检测 3. 使用veil-evasion生成后门程序及检测 4. 使用shellcode生成后门程序并检测 5. 实验中遇到的问题及思考 尝试点其他有趣的?--自解压捆绑木马 同样的病毒,不同的杀软杀出来不一样的结果? 6. 实验总结及体会 附:参考资料 1. 免杀原理与实践说明…

0x001 原理 采用分离法,即将ShellCode和加载器分离.方法较LOW但免杀. 本文主要将ShellCode转成HEX,再通过加载器执行ShellCode. PS: 何为SC加载器,即专门用于加载所提供ShellCode的工具. 如同HTTP发包工具,支持提交HTTP,写死参数最多只能叫EXP. 再详细点,打个比方,你只会炒一个菜,你敢说你是厨师吗? 0x002 ShellCode免杀 CS可生成很多种格式的ShellCode,具体该用哪一种呢? 由于部分杀软会查杀ShellCode文件…

免杀之:Mimikatz 免杀过杀软 目录 免杀之:Mimikatz 免杀过杀软 1 环境准备 2 处理过程 2.1 生成原始的Mimikatz程序 2.2 定位到代码或字符串上特征绕过 2.3 定位特征码绕过 2.3.1 准备软件 2.3.2 分析mimikatz程序定位特征码 2.3.3 替换特征码 2.3.4 成功免杀 Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网.也可以通过明文密码或者…

1.简介 在安全厂商日趋成熟的背景下,编写免杀马的难度和成本日益增长.好用新兴的开源项目在短时间内就被分析并加入特征库.笔者调研了部分开源项目,其中也有项目做了类似的分析 [1],目前能够免杀的项目初步统计,其特征一是star数不过千,二是发布时间不会很长.尽管以上开源测试项目已经无法免杀,也有两种可以发展的方向,一个是学习其思想,自己实现并去特征免杀:二是改造原有项目,自己查特征.去特征,经过测试也能达到免杀. 免杀方法和思路很多,但据笔者观察,目前免杀分为两大流派.一是二进制流,利用汇编配合…

原文转载于:http://www.legendsec.org/1701.html 觉得写得还算蛮科普的. 00x1.关键字拆分.         比如assert,可以写成 ‘a’.’ss’.’e’.’r’.’t’这样.         总结:这种方法虽然简单,但是却没有太强的免杀功效,需要结合其他方法. 00x2.可变变量.引用.可变函数. 可变变量  比如$a=$_POST[‘x’];$b=’a’;@eval($$b);        测试结果:        总结:这种方法对狗等WAF可以…

以下只是简单的思路和定位.也许有人秒过,但是不要笑话我写的笨方法.定位永远是过期不了的. 其实这里废话一下 , 本人并不是大牛 ,今天跟大家分享下 .所以写出这篇文章.(大牛飘过) 只是个人实战的经验而已 ,没有任何技术含量.ok  我们开始 我们只谈vc++源码免杀 ,过掉 国内的杀毒软件 . 达到不损坏功能 正常上线 从而无视杀软的存在 首先说中国国内杀毒软件的特征 . 1  金山毒霸 ,我个人觉得杀的代码部分和字符串还是比较普遍的 .输入表函数 我个人不多见 . 2  瑞星 ,经实战经验…

之前和Random大神讨论了一下免杀的问题,他给出了一个比较不错的想法,使用debug版本发布可以过很多杀软.顺便看了下lcx的源码,发现其代码不算特别复杂,于是乎就在这分析一下. 报毒情况 因为使用的源代码编译,报毒不算很多,因为lcx使用的都是socket运行时不会被杀掉.基本上不报毒就是可以用了 使用debug方式发布的报毒 使用release方式发布的报毒情况,的确是多了那么几个但是没有想象中多的那么多 源代码 大体看了一下,其实就是很简单的运用了socket,三个核心函数bind2bi…