1、小记

1、上线后第一条命令不要执行whoami 可以执行ipconfig等

2、个人杀软鸡肋，企业标配EDR，IPS,IDS,NDR,XDR，一般分为主控和agent

3、wd大于国内其他杀软

4、早期杀软大多数凭借特征库/病毒库对比查杀

5、常用c2（Command & Control Server）：Cobalt Strike（最常见）、Metasploit（老牌）、Empire（帝国）、Covenant（C#）、Poshc2（基于命令行，翻文件不友好）、Sliver（golang、规避很好，但命令行模式比较难用，可控linux）、BRC4（多规避手段）、夜莺（nig，不对大陆出口）、havoc（C/Go），cs4.5最适合二开，自写C2很容易免杀。

6、国外常用杀软：猎鹰、S1、卡巴斯基

国内常用杀软：卡巴斯基，eset，nod32，麦咖啡，以及各家edr，和个人版杀软例如腾讯电脑管家，火绒等。

7、把自己写的马子传到VT查杀是很傻的行为

8、不同的编译器静态查杀结果也不一样，不同的参数也是

免杀技术核心

1、主动对抗

做混淆等，持续攻击，钓鱼，在无法本地复现目标杀软环境的情况下，只能fuzz各种操作看怎么才能不杀

2、被动对抗

3、时间成本

小项目无需做太复杂，能用就行

代码量尽量小，upx压缩360落地查杀，golang 1-2m，python3 4-6m ，尽量简单高效，但现在的网络环境对大体积影响不大，所以实在不行也不必强求代码量低

4、静态查杀

文件刚落地就无了或者被检测了就是被静态查杀了

5、动态查杀

可以存在但运行就挂了，就是动态查杀

双击运行和cmd运行的运行链是不一样的，cmd没杀可能是因为主进程是cmd的进程，双击则为木马本身的进程，叫做ppid欺骗

免杀难点

1、特征检测

基于病毒库\特征库比对文件特征去查杀

2、行为检测

比如添加用户，添加计划任务，注册表，驱动等

3、云查杀

把可疑文件上传沙箱再返回结果

4、内存扫描

扫描内存的区域，卡巴斯基和wd都有

5、主动防御

360有，杀软内置检测规则，触发规则即拦截

6、启发式

对特征码补充，解决未知病毒的情况，就是将病毒特征进行总结，得出规则再查杀，涉及到AI引擎和沙箱

7、流量查杀

比如态势感知这种设备对传输流量进行解密识别，检测是否远控传输，比如webshell流量，cs流量