免杀基础

免杀的概念

免杀，也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。 也就是我们常说的bypass AV

杀毒软件分类

免费版

360安全卫士、火绒、电脑管家等等

收费版

也称为企业版（EDR）。对比免费版，企业版的查杀更为严格，特别是针对内存的查杀，比如：卡巴斯基、ESET(NOD32)等等

杀软检测的方式

扫描技术

• 扫描压缩包，对压缩包文件进行分析检查
• 程序防篡改，避免程序或文件被恶意程序篡改
• 修复技术，对恶意程序所破坏的文件进行还原
• 智能扫描，扫描常用磁盘，系统关键位置，时间短
• 全盘扫描，扫描电脑全盘文件，时间长
• 勒索软件防护，保护电脑不受勒索软件的攻击
• 开机扫描，电脑开机时自动扫描，可以扫描压缩文档和不需要的程序

监控技术

• 内存监控，监控内存中的数据，监控所有进程，当发现内存中存在病毒的时候，就会主动报警
• 文件监控，当发现写到磁盘上的文件中存在病毒，或者是被病毒感染，就会主动报警
• 邮件监控，当发现邮件的附件存在病毒时进行拦截
• 网页防护，阻止网络攻击和不安全下载
• 行为防护，提醒用户可疑的应用程序行为

常见术语介绍

• 漏洞 vulnerability
• 渗透测试 penatration test
• 利用 exploit 渗透攻击
• 提权 privilege escalation
• 攻击载荷 payload
• 免杀 anti-antivirus
• 后渗透 post-exploitation

检测能否免杀

如果怀疑一个文件或软件是否是病毒或存在后门（可以用于检测自制文件是否会被杀），可以使用的在线检测工具：

virustotal.com

s.threatbook.com

渗透测试流程

• 确定目标
  • 资产范围
  • 测试方法
  • 要求
  • 限制
• 信息收集
  • 域名
  • 子域名
  • ip
  • 端口
  • 网站目录
  • 旁站
  • c段
  • 网站架构
  • 软件版本
• 漏洞分析（威胁建模）
  • 根据软件版本
  • 基于漏洞数据库
  • 根据已挖掘的新漏洞
• 漏洞利用
  • 获得权限或者文件数据
• 提权（渗透测试报告）
  • 提升至管理员权限
• 后渗透（清理痕迹）
  • 扩大战果，维持权限