黑客協會：木馬免殺由你來主宰

免殺的終極目標是實現 「FUD」， FUD是地下網路黑話，代表軟體不被殺毒檢測殺死。

應該說每一類型的惡意軟體所實施的反檢測技術都是不一樣的（惡意軟體可以分為病毒、木馬、殭屍程序、流氓軟體、勒索軟體、廣告程序等），雖然本文會對所有相關的反檢測技術都進行介紹，但我們還是會將注意力放在stager階段的meterpreter這種有效載荷的工具上，因為幾乎所有的惡意軟體的攻擊命令的執行都必須依靠 meterpreter來實施攻擊。

例如: 提權、憑證竊取、進程遷移、註冊表操作和分配更多的後續攻擊， 另外，MetasploitFramework是一個緩衝區溢出測試使用的輔助工具，也可以說是一個漏洞利用和測試平台，它集成了各種平台上常見的溢出漏洞和流行的shellcode，並且不斷更新，使得緩衝區溢出測試變的方便和簡單。

一款木馬，如何才能防止被殺毒軟體查殺呢？答案就是——免殺！自從木馬誕生的那一天起，被殺與免殺的較量就從來沒有停止過，正所謂是"道高一尺、魔高一丈"，在殺毒軟體技術更新的同時，木馬的免殺技術也在不斷的前進著。

關於術馬免殺的方法是五花八門：修改特徵碼、加殼、加花、數字簽名等等。一般來說，我們使用比較多的還是加殼，這種方法簡單方便，免殺效果也不錯。

靜態免殺、動態免殺和啟髮式免殺三種方法來實現「FUD」，但不管是哪種實現的技術，其中的一個關鍵點就是惡意軟體的大小一定要足夠小。

不建議沒有基礎的小夥伴們自己來操作免殺，一般的測試著玩的話，你下載幾個比較老款的殺毒軟體，然後用自己做的免殺一步步的測試，最新的免殺基本上難度是很大的，新手們玩不轉，地下黑市上賣的最新款免殺都是有很多人買，有些殺毒軟體的病毒庫天天更新，所以免殺也天天得更新。

加殼檢測：

惡意軟體一般都會被壓縮加殼，因為加殼會將可執行文件進行壓縮打包, 並將壓縮數據與解壓縮代碼組合成單個可執行文件的一種手段。 當執行被壓縮過的可執行文件時，解壓縮代碼會在執行之前從壓縮數據中重新創建原始代碼。所以檢測惡意軟體是否使用了加殼技術，也是發現的一種重要手段。

加密檢測：

惡意軟體使用加密對其二進位程序進行加密，以免被逆向分析。加密存在於惡意軟體的構建器和存根中，當惡意軟體需要解密時，不會用惡意代碼常用的正常方法執行它。為了隱藏進程，惡意軟體使用了一個有名的RunPE的技術，代碼會以掛起的方式執行一個乾淨的進程（比如iexplorer.exe或者explorer.exe），然後把內存內容修改成惡意代碼后再執行。所以檢測RunPE的運行，就可以很容易的檢測到惡意軟體了。

最後再來了解一點黑客術語

免殺殺毒軟體通過特異性受體識別抗原，進行殺毒，給病毒包上一層人畜無害的蛋白質外殼來麻痹殺毒軟體，起到免殺的作用

爆破扔成噸的垃圾砸死你

抓雞肉雞，你可以理解為忽悠國小生聽你使喚

抓包比如你用人臉識別來驗證，那我就那你的照片冒充你;你用聲音識別，我就把你聲音錄下來

學習黑客的第一本書 網路黑白 某寶有