静态免杀研究

杀毒软件工作原理

我们想要进行免杀的研究，我们首先就需要进行杀毒软件的分析，杀毒软件将我们木马查杀，有以下几个方面

静态查杀

杀软一般通过比对关键md5进行分析，也有会进行模糊查询，甚至部分md5匹配则判断为木马文件。未加密也会直接通过特定字符进行判断。

内存查杀

病毒或者木马文件运行之后，会还原自身，将自己放置于内存中去运行，同时原本加密的危险字符也会重新出现，很容易被检测出来。

行为查杀

当程序运行一些危险行为的时候，就会进行查杀，比如进行了键盘监控，这个时候杀软就会认为进行这个行为的软件属于木马文件。其实我们可以通过一些普通用户可能做的操作来规避这种查杀，留下合理的后门。

云查杀

将文件进行上传到云沙箱，使用杀毒软件进行分析。

使用virTest特征查找并修改

virTest介绍：

VirTest是一款shellcode定位工具，可以在杀软查杀文件是定位文件特征码。

使用方式

这里我们下载：

http://static.3001.net/upload/20140812/14078161556897.rar

下载之后我们直接打开工具，点击制作测试文件，这里我以mimikatz为例

这样会提示

然后我们点击载入测试文件，选择上面给我们的地址，vir后缀的文件，就是生成的测试文件了。

这里有几点需要记住，在载入之前不要打开杀软，防止被杀掉，制作测试文件之后其实就可以打开了，也需要打开，然后我们点击定位特征代码，这个时候我们有两种选择，一种是打开杀软我们选择自动确定

还有一种是选择手动确定，然后去扫描vir目录内的测试文件

这里扫描之后会有左下角的框中提示，哪一块被查杀

选中，我们找到位置，然后我们可以通过修改工具去修改特征码，有，OD，C32ASM，UE，010Editor等等

我们可以使用查找去找到特征位置，根据前面的行数号码，去找到哪到哪

然后这里有一种修改方式，就是通过+1来修改

之前学破解的时候有一个顺口溜，叫“74“变“75“，“84“变“85”，很老的一个段子。

这样我们逐一修改特征码，最后反复上述步骤，直到达到一个免杀的效果。