黑客协会：黑客进阶之免杀后门第一章

黑客协会：黑客进阶之免杀后门第一章

中国黑客协会创始人花无涯带你走进黑客世界系列技术文章

因为免杀中涉及技术比较多：漏洞、shellcode、杀软分析与逆向、加密、花指令等等。自从杀毒软件开始反rootkit以来，利用驱动防火墙已经让内核rootkit的生存空间变得非常小了，在win10上更难以成功安装，但是并不会绝迹，你要知道windows只要支持第三方驱动安装，rootkit就可以用同样的方法入侵，现在很多rootkit都是有驱动签名的，当然如果黑客有内核级漏洞那么也可以成功安装rootkit。

请点击此处输入图片描述

反杀软检测技术介绍

应该说每一类型的恶意软件所实施的反检测技术都是不一样的（恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等），虽然本文会对所有相关的反检测技术都进行介绍，但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上，工具黑协优盘里头都包含。

因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击，例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击， 另外，MetasploitFramework是一个缓冲区溢出测试使用的辅助工具，也可以说是一个漏洞利用和测试平台，它集成了各种平台上常见的溢出漏洞和流行的shellcode，并且不断更新，使得缓冲区溢出测试变的方便和简单。

当然如果你不懂免杀，还是新手入门，推荐你看微博的前几个系列的文章，同时推荐经典黑客攻防技术学习书籍《网络黑白》某宝有。

完美的免杀方法

到目前为止，要实现恶意软件的“FUD”，加密恶意代码被认为是个不错的选择，不过有几点要注意：

1.恶意程序在解密时，应当也进行代码混淆

2.当恶意文件在内存中运行解密代码时，我们必须要保证在不重定位绝对地址的情况下进行

3.恶意软件是否在沙箱环境中运行，如果是，则立马停止恶意文件的解密

4.应当只对 PE 文件中的 shellcode 或 只有二进制文件的.text部分进行加密，而不是对整个 PE 文件进行，以便把信息熵和降到最低

以下是恶意软件流程图。

请点击此处输入图片描述

我们的“杀软检测”功能将检测恶意软件是否正在沙箱中被动态分析，如果功能检测到AV扫描器的任何迹象，则它将再次调用主函数或者仅当 “AV Detect” 函数来用。如果没有发现AV扫描器的任何迹象，它会调用 “解密Shellcode” 的功能。

免杀技术已经发展非常高级了，不知道你是想问rootkit的免杀技术，还是单指免杀技术。rootkit免杀类似于前面的回答，能在系统中成功安装，就达到免杀的效果了。

如果单指免杀技术，那就非常广了，现在的免杀不在是像以前那样改改特征就了事，现在免杀要做到过特征检测、过主动防御、过行为检测、过云查杀等等，以后可能还要面对智能杀毒引擎的查杀，肯定是多维度的。但是要说免杀有多难，也不难，关键看你对杀软的分析程度以及你个人的思路，现在能躲避查杀恶意软件攻击数量不是在减少，而是在增多的。

同时花无涯带你走进黑客世界系列文章会继续更新。

​