shellcode——payload分离免杀

---

QQ 1285575001
Wechat M010527
技术交流 QQ群599020441
纪年科技aming

---

反病毒安全软件 anti-virus security software

三种特点

• 基于特征
• 基于行为
• 基于云查杀 -特征查杀

都是特别针对PE头文件的查杀

当payload文件越大的时候，特征越容易查杀

反制查杀机制 （概括）

• 采取特征与行为分离免杀
  避免 PE头文件，并且分离行为，与特征的综合免杀

• 适用于菜刀下等场景

• 基于 windows下 更稳定 手法——载入内存

---

kali Linux演示

• 0x00: 监听端口
  
  

• 0x001：这里的payload不采取生成pe文件，
  而采取shellcode方式，来借助第三方直接加载到内存中——避免行为
  

• 0x002: shellcode方式的payload， 借助第三方来启动——加载到内存。
  执行shellcode，自己写也不是很难 ( 建议大家自己写shellcode执行盒，相关代码网上非常成熟。）

• 借用一个github一个开源：点击查看