黑客协会：木马免杀由你来主宰

免杀的终极目标是实现 “FUD”， FUD是地下网络黑话，代表软件不被杀毒检测杀死。

应该说每一类型的恶意软件所实施的反检测技术都是不一样的（恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等），虽然本文会对所有相关的反检测技术都进行介绍，但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上，因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击。

例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击， 另外，MetasploitFramework是一个缓冲区溢出测试使用的辅助工具，也可以说是一个漏洞利用和测试平台，它集成了各种平台上常见的溢出漏洞和流行的shellcode，并且不断更新，使得缓冲区溢出测试变的方便和简单。

请点击此处输入图片描述

一款木马，如何才能防止被杀毒软件查杀呢？答案就是——免杀！自从木马诞生的那一天起，被杀与免杀的较量就从来没有停止过，正所谓是"道高一尺、魔高一丈"，在杀毒软件技术更新的同时，木马的免杀技术也在不断的前进着。

关于术马免杀的方法是五花八门：修改特征码、加壳、加花、数字签名等等。一般来说，我们使用比较多的还是加壳，这种方法简单方便，免杀效果也不错。

静态免杀、动态免杀和启发式免杀三种方法来实现“FUD”，但不管是哪种实现的技术，其中的一个关键点就是恶意软件的大小一定要足够小。

不建议没有基础的小伙伴们自己来操作免杀，一般的测试着玩的话，你下载几个比较老款的杀毒软件，然后用自己做的免杀一步步的测试，最新的免杀基本上难度是很大的，新手们玩不转，地下黑市上卖的最新款免杀都是有很多人买，有些杀毒软件的病毒库天天更新，所以免杀也天天得更新。

请点击此处输入图片描述

加壳检测：

恶意软件一般都会被压缩加壳，因为加壳会将可执行文件进行压缩打包, 并将压缩数据与解压缩代码组合成单个可执行文件的一种手段。 当执行被压缩过的可执行文件时，解压缩代码会在执行之前从压缩数据中重新创建原始代码。所以检测恶意软件是否使用了加壳技术，也是发现的一种重要手段。

​加密检测：

恶意软件使用加密对其二进制程序进行加密，以免被逆向分析。加密存在于恶意软件的构建器和存根中，当恶意软件需要解密时，不会用恶意代码常用的正常方法执行它。为了隐藏进程，恶意软件使用了一个有名的RunPE的技术，代码会以挂起的方式执行一个干净的进程（比如iexplorer.exe或者explorer.exe），然后把内存内容修改成恶意代码后再执行。所以检测RunPE的运行，就可以很容易的检测到恶意软件了。

最后再来了解一点黑客术语

免杀

杀毒软件通过特异性受体识别抗原，进行杀毒，给病毒包上一层人畜无害的蛋白质外壳来麻痹杀毒软件，起到免杀的作用

爆破

扔成吨的垃圾砸死你

抓鸡

肉鸡，你可以理解为忽悠小学生听你使唤

抓包

比如你用人脸识别来验证，那我就那你的照片冒充你;你用声音识别，我就把你声音录下来

​学习黑客的第一本书  网络黑白 某宝有