网络攻防学习笔记 Day11

“免杀”是指能使病毒木马躲避杀毒软件查杀的技术，由于免杀技术涉及反汇编、逆向和系统漏洞等技术，所以难度很高，一般人不会或没能力接触免杀技术的深层内容。其内容基本上为修改病毒和木马的内容，改变特征码，从而躲避杀毒软件的查杀。市面上杀毒软件查杀的三种常见方式是基于特征、基于行为和基于云查杀。

渗透测试方面比较出名的 AWVS 和 Nessus 工具，在免杀方面比较出名的则是 Veil、Venom、Shellter 这三款经典免杀工具。

Veil-Evasion 是一个用 Python 编写的免杀框架，专门为攻击安全测试过程中免杀使用的工具，它可以将任意脚本或一段 Shellcode 转换成 Windows 可执行文件，从而逃避常见防病毒产品的检测。Veil 的下载地址为“https://www.github.com/Veil-Framework/Veil-Evasion.git”。

Shellter 是一种动态的 Shellcode 注入工具，也是有史以来第一个真正的动态 PE 感染器。可以使用它来将 Shellcode 注入本机 Windows 应用程序（当前仅支持 32 位应用程序）。Shellcode 可以是自己的，也可以是通过框架（如 Metasploit）生成的。下载地址：“https://www.shellterproject.com/download/”。

Cobalt Strike 是一款基于 Java 的渗透测试神器，常被业界人称为 CS 神器，在内网渗透中使用的频率较高，其功能和 MSF 类似，不乏钓鱼攻击、生成后门攻击等。

UPX（The Ultimate Packer for eXecutables）是一个免费且开源的可执行程序文件加壳器，支持许多不同操作系统下的可执行文件格式。

Xencrypt 是一款针对 PowerShell 脚本进行免杀的工具，它使用 AES 加密算法及 Gzip/DEFLATE 压缩算法来对 Powershell 脚本代码进行免杀处理。Xencrypt 的下载地址为“https://github.com/the-xentropy/xencrypt”，建议在高于 Windows 7 系统的 Powershell 版本运行使用。