Tide安全团队

《远控免杀从入门到实践》

GitHub

👍语雀👍

免杀知识汇总

一、杀软常见的三种方式

1. 静态查杀(邮件类查杀一般是静态的)—>一般根据特征码识别到—>对文件进行特征匹配的思路
2. 云查杀
3. 行为查杀(也可以理解为动态查杀)—>对其产生的行为进行检测

3.1 可构建行为库进行动态查杀
3.2 可构建日志库对日志库进行动态查杀
3.3 统计学检测—>构建特征学习模型—>进行动态查获取就好了

二、免杀的三种常用方式

1. 捆绑—>文件捆绑，自解压捆绑，如exe类型
2. 特征码混淆思路—>即混淆特征码进而绕过免杀

2.1 代码混淆
2.2 api钩子（函数混淆类）—>dll劫持类型。
2.3 溢出类型漏洞特点类

1. 白名单

   三、利用工具实现免杀

   比较多就不复制了，免杀工具可以看Tide安全团队-《远控免杀从入门到实践》的工具篇总结。
   

   思维导图