红队攻防之免杀总结
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等杀毒软件,为了躲避杀毒软件,可以采用修改特征码、花指令免杀、加壳免杀、二次编译、Powershell 免杀等技术,如拆分DownloadString函数、拆分http关键字、中文引号、替换IEX + http拆分等。
🎯
关键要点
- 杀毒软件的基本组成包括扫描器、病毒库和虚拟机。
- 基于特征码的静态扫描技术已无法有效应对现代病毒。
- 启发式扫描通过分析指令顺序和特征组合来识别未知病毒。
- 虚拟机技术用于执行和分析可疑程序的行为,以识别病毒。
- 免杀技术包括修改特征码、花指令、加壳、二次编译和Powershell免杀。
- 修改特征码可以通过更改特定字符串或校验和来躲避杀毒软件。
- 花指令免杀是在代码中添加无效指令以干扰反编译。
- 加壳技术通过加密壳掩盖特征码,但成功率逐渐降低。
- 二次编译利用多态编码技术生成不同的攻击载荷以实现免杀。
- Powershell免杀通过拆分函数和关键字、使用中文引号等方式绕过检测。
🏷️
标签
➡️
