免杀学习1-静态免杀

静态免杀

https://cn-sec.com/archives/1161051.html
静态免杀指的是，杀毒软件直接对文件扫描，发现有病毒特征，查杀之。一般发生在文件落地阶段，下载，解压即杀。
因此规避静态查杀的方法有很多。
1，文件不落地。详情见之前的文章《一个文件一条命令一个游戏》，不过这种方法由于命令特征明显，比直接的运行木马更加易被拦截。
2，分离加载。shellcodeloader，从url，txt，图片里面加载shellcode，是非常好用的静态免杀处理方案。而且很多时候通过加密，shellcode内置在exe中也没关系。
3，变动md5。有时候你的exe本身就短时间免杀，只不过因为云查杀等原因被入库了，这种时候只需要简单的修改文件md5即可再次免杀。修改md5的办法通常是即时编译一个新木马，或者修改木马图标或者备注。
4，白加黑。通过劫持正常exe的dll，免杀效果较好。
5，签名。通过某些渠道给exe做正规签名，免杀效果较好。以及存在一些泄露的签名，但往往会被加入黑名单，签名了反而直接杀。
6，加壳/其他语言编译，其目的是混淆杀毒软件，但由于被滥用反而导致反效果，比如go编译和python编译的exe可能更容易被杀。而且还会增加体积。

这里以最常用的2举例，github搜shellcodeLoader，找个star最多的。
https://github.com/knownsec/shellcodeloader
cs客户端生成raw文件(beacon.bin)，拖进去，随便选一个加载方式。