免杀知识点总结

免杀知识点总结
一、免杀概述
免杀技术是指通过各种手段，让恶意软件能够避开杀毒软件的检测，从而成功感染目标系统，达到攻击者的目的。

免杀技术已经成为当前网络安全攻防战中的一个热点话题，对于网络攻击者和渗透测试人员来说，掌握免杀技术至关重要。

对于网络防御者来说，了解免杀技术也是非常关键的，只有深入了解免杀技术，才能更好地防范这些攻击。

二、免杀技术分类
1. 多态性
多态性是免杀技术中非常关键的一种技术手段，其核心思想是不断改变恶意代码的形式和特征，使得每个新生成的样本都不同于已知的样本，从而能够逃避杀毒软件的检测。

多态性可以通过各种手段来实现，比如代码加密、代码压缩、指令替换等。

2. 加壳
加壳是指将恶意代码进行加密或者混淆处理，生成一个新的可执行文件，执行时需要先经过解密或者解压缩的过程，从而使得病毒样本不易被杀毒软件检测到。

加壳也是一种非常常见的免杀技术手段。

3. 免杀代理
免杀代理是指利用被信任的程序作为载体，将恶意代码植入到这些程序中，利用这些可信程序的信任度来躲避杀毒软件的检测。

免杀代理技术常见的方式包括DLL注入、shellcode注入等。

4. 免杀利用漏洞
免杀利用漏洞是指通过利用系统或者应用程序的漏洞，来进行免杀攻击。

这种方式可以绕过杀毒软件的检测，因为漏洞本身并不是一种已知的攻击形式。

5. 免杀模块化
免杀模块化是指将恶意代码进行模块化处理，将恶意功能分成若干模块，然后分别插入到合法程序中。

这样做的好处是一旦某个模块被杀毒软件检测到，也不会影响其他模块的正常工作。

6. 免杀定制化
免杀定制化是指根据具体的目标系统和杀毒软件来进行技术定制，使得恶意代码能够更好地逃避检测。

这种方式需要对目标系统和杀毒软件有深入的了解，并能够根据具体情况来进行技术调整。

三、常见的免杀技术手段
1. 代码混淆
代码混淆是指对恶意代码进行各种变换和混淆处理，使得其在静态分析和动态执行时难以被识别。

常见的代码混淆手段包括变量重命名、函数重命名、指令替换、代码插入等。

2. 加密与解密
加密与解密是指将恶意代码进行加密处理，执行时需要先解密才能执行。

这样做的好处是即使恶意代码被获取，也不容易进行分析。

常见的加密与解密手段包括对代码进行加密、使用自制的解密算法等。

3. shellcode注入
shellcode注入是指通过在目标进程中注入恶意代码的方式来进行免杀攻击，从而绕过杀毒软件的检测。

shellcode注入通常是通过漏洞利用或者系统调用来进行的。

4. DLL注入
DLL注入是指将恶意DLL库文件注入到合法进程中，通过修改进程的内存空间来执行恶意代码，从而绕过杀毒软件的检测。

DLL注入是免杀代理中非常常见的一种手段。

5. 驻留与感染
驻留与感染是指恶意代码通过感染合法程序或系统文件的方式来进行免杀攻击，从而绕过杀毒软件的检测。

这种方式可以使得恶意代码在系统中得以持久存留。

6. 网络传播
利用网络传播的方式也是进行免杀攻击的一种方式。

通过网络传播，恶意代码可以不易被杀毒软件检测到，从而快速传播并感染更多的目标系统。

7. 文件格式
通过修改恶意代码的文件格式，使得其不易被杀毒软件检测到，也是免杀攻击中非常有效的一种手段。

比如将恶意代码伪装为图片、音视频文件等，也可以绕过杀毒软件的检测。

免杀技术是网络攻击和网络防御中非常重要的一环，攻击者和防御者都需要对免杀技术有深入的了解。

对于攻击者来说，掌握免杀技术可以让恶意代码更好地进行攻击，对于防御者来说，了解免杀技术也可以帮助其更好地进行安全防范。

只有深入了解免杀技术，才能够更好地进行网络安全防御和攻击。