声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担

前言

之前做靶机的时候发现有安全卫士，怎么都突破不了，意识到了免杀的重要性，花点时间来学习一下免杀的技巧，本文分别对exe文件和ps1文件进行免杀测试，所涉及的工具均已打包，私信获取

免杀介绍

免杀有很多种方式

• 1、源码免杀。在有源码的情况下，可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等，这部分内容较多略复杂

• 2、无源码免杀。在源码不好修改需要对exe进行免杀时，可以加资源、替换资源、加壳、加签名、PE优化、增加节数据等等。本文中的方法1就是这种方式，只不过算是最简单的一种。

• 3、powershell免杀。因为mimikatz有powershell版或者使用powershell可以加载，所以对powershell的脚本免杀也是一种方式，本文中的方法2-方法6都是对powershell进行处理。

• 4、加载器分离免杀。加载器就是利用了ShellCode和PE分离的方式来达到免杀的效果，不过很多只能加载基于RAW格式或固定格式的shellcode，对exe程序就无能无力了

• 5、白名单免杀。白名单主要是使用了rundll32、msbuild、mshta、cscript等多个白名单程序来加载嵌入了木马的jscript脚本

EXE文件免杀

首先来看看原生态的cs生成的exe后门木马吧

火绒一放进去就报毒了，360运行之后也报毒了

VirusTotal - Home原生木马的查杀率为48/68

加壳+签名

需要的软件

VMProtect Ultimate 3.4.0加壳软件、签名脚本sigthief.py

安装vmp加壳软件后，使⽤vmp进⾏加壳

 cs的后门和msf的后门都试了一下，不知道为什么VMP这个工具不能对msf的后门加壳

 加壳之后试了一下，火绒过了，360还是报毒了

 使⽤ sigthief.py 对上⼀步⽣成的exe⽂件进⾏签名。sigthief的详细⽤法可以参考 https://github.com/secretsquirrel/SigThief（要以管理员权限运行）

 python sigthief.py -i 360safe.exe -t artifact.vmp.exe -o artifact.exe