1.免杀基本概念：

免杀就是反病毒技术，，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等黑客技术，所以难度很高，一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

2.查杀方式及原理

病毒查杀方式：行为和云查杀、静态查杀。

静态查杀：一般根据特征码识别到，然后对文件进行特征匹配。
云查杀：查毒的原理是对文件内容及行为的检测，要实现这个需要唯一确定文件吧，md5？当大文件时，效率较低，随便改个字节都变了，所以就有了提特征（针对所有文件，根据指定位提取唯一信息，速度快）。
行为查杀(动态查杀)，主要是对其产生的行为进行检测。

1. 可构建行为库进行动态查杀
2. 可构建日志库对日志库进行动态查杀
3. 统计学检测—>构建特征学习模型—>进行动态查获取就好了

3.免杀实践：使用mimikatz免杀。

1.初识Mimikatz。

Mimikatz可以说渗透人员都知道的一款获取Windows的明文密码的工具，是法国人编写的但在全球都广范围使用着，主要能够从 Windows 认证(LSASS)的进程中获取内存，并且获取明文密码和NTLM的哈希值，因此黑客可以借此横向内网环境。

2.环境部署：

1.先将Mimikatz 工具下载到本地：

https://github.com/gentilkiwi/mimikatz

2.然后安装Visual Studio 2012

3.运行之后，勾选下一步。（Mimikatz免杀只需要勾选c ++即可）

3.配置环境

1.配置c++环境。

4.免杀原理：主要通过更改杀软定位源码种的特征源码，对其进行修改然后达到免杀的效果。

免杀步骤：

1.使用Visual Studio 2012方式打开mimikatz.sln：

2.然后生成exe。

3.然后运行进行检测：

4.进入属性，更改平台工具集和运行环境，将运行环境改为64位。

5.修改源码，替换mimikatz替换为abc

6.将所有关键字进行替换

7.看到了更改后的文件，将关键注释信息进行删除。

8.新建版本信息区

9.最后在线生成ico，然后进行替换

http://www.ico51.cn/或

https://www.bitbug.net/

10.最后进行bypass测试，测试过程大家自行测试。

本文由pony686原创发布
转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/255394
安全客 - 有思想的安全新媒体