shellcode——payload分离免杀

shellcode——payload分离免杀_第1张图片


QQ 1285575001
Wechat M010527
技术交流 QQ群599020441
纪年科技aming


反病毒安全软件 anti-virus security software

三种特点

  • 基于特征
  • 基于行为
  • 基于云查杀 -特征查杀
都是特别针对PE头文件的查杀

shellcode——payload分离免杀_第2张图片

当payload文件越大的时候,特征越容易查杀

反制查杀机制 (概括)

  • 采取特征与行为分离免杀
    避免 PE头文件,并且分离行为,与特征的综合免杀

  • 适用于菜刀下等场景

  • 基于 windows下 更稳定 手法——载入内存


kali Linux演示

  • 0x00: 监听端口
    在这里插入图片描述
    shellcode——payload分离免杀_第3张图片在这里插入图片描述

  • 0x001:这里的payload不采取生成pe文件,
    而采取shellcode方式,来借助第三方直接加载到内存中——避免行为
    shellcode——payload分离免杀_第4张图片

  • 0x002: shellcode方式的payload, 借助第三方来启动——加载到内存。
    执行shellcode,自己写也不是很难 ( 建议大家自己写shellcode执行盒,相关代码网上非常成熟。)

  • 借用一个github一个开源:点击查看
    在这里插入图片描述shellcode——payload分离免杀_第5张图片shellcode——payload分离免杀_第6张图片shellcode——payload分离免杀_第7张图片

你可能感兴趣的:(破解免杀)