通用免杀概论

免杀：病毒木马免于被杀毒软件查杀，基于免杀的技术包含逆向工程、反汇编、系统漏洞等hack技术

企业目前标配防护：EDR（终端主机防护）、IPS、IDS、HDR（流量监控）、XDR（相较于EDR更高级），早期的话，基于Server端、Agent端，以及后面更高级的Sass云端部署，早期赛门铁克比较多，目前亚信防毒墙。国内金融、护网：卡巴斯基居多。国外的话强对抗：猎鹰、S1 （7x24小时人工智能）架构为云端总控。本地Agent上传可疑软件、文件到云端人工分析。基本无解，除非有泄露的key可使用，遇到绕道走

国内杀软的话：360/360核晶、火绒、电脑管家、金山毒霸。其中还有Windows Defender，搞定这个，以上皆可免杀

免杀目前持续学习中，涉及范围内容居多

基础部分：C、C++语言，汇编语言、Windows PE、IDA、x64dbg，Win32 3环、0环API方便写内核驱动

恶意代码加载方式：无api加载、进程注入、远程线程注入、APC注入、DLL注入、线程劫持

对抗部分：DLL劫持、EDR对抗：通过Syscall绕过EDR、Windows Defender绕过

新对抗部分：360合晶对抗：合晶维权、R3下加载驱动、修改注册表，卡巴斯基：内存对抗，Hook：Global Hook、Inline Hook、IAT Hook，Windows 权限维持，Windows UAC绕过