利用cobalt strike可以生成后门exe文件，但是容易被杀毒软件查杀。

常见免杀方式

修改特征码

花指令免杀

加壳免杀

内存免杀

二次编译

分离免杀

资源修改

总之就是混淆(函数名加密) or 代码包装

语言

C或C#，一般是这两个，原因无它，这两个语言可直接调用windows api

编程时很依赖结构

110.41.143.250

概念

PEB (Process Environment Block)进程环境模块，理解为工厂

TEB 现成环境模块，理解为员工

PEB没了，TEB肯定没

打包exe时，会将ntdll（keren132、kernbass）一起封装进去

PE：可执行文件嘛，exe dll sys都算，经过系统加载运行的

PE头

从上往下依次获取，表结构->RVA列表->函数名

杀软识别调用链+堆栈回溯

调用链：即函数间的调用流程

堆栈回溯：每个函数结束有一个 ret，这是一个地址，杀软可以以此为根据，往上倒推找执行过的语句

调用了Nt*开头的函数

反调试：绕沙箱

启动校验，与加密字符串进行一个校验，若匹配不上，沙箱运行时就跑不起来

比如1.exe password，而一般沙箱只会启动1.exe，没有参数，就跑不起来

一般是进程模块获取dll模块，pe结合dll模块作为标识符，通过pe 解析找到dll地址 遍历dll函数地址

最后进行函数名匹配

更高阶的是哈希校验，

地址校验

长时间维持的话：

注册表、添加用户(但是360秒杀)；360主要是无脑杀，十分严格

计划任务

服务

com劫持

shell命令 最好不要用，cs的bof做的好，杀软对起进程、注入操作极其敏感

https://github.com/trustedsec/CS-Situational-Awareness-BOF

杀软： 猎鹰 哨兵1号 即xdr(搜索遥感数据用ai模型分析) 应对apt用的，查杀能力不如360

r3hook，行为记录，这次用，下次就踢

调cmd、powershell本身就很危险

https://www.cnblogs.com/VxerLee/p/15498560.html

VERGILUS https://www.vergiliusproject.com/kernels/x64/Windows%2011

木马

顺便记了

常规msf后门，主要在进程这一块，是自启动的，所以可以看到

Rookit后门呢，没有网络信息，主要是在内核那一块，常见的wireshark分析权限不够，抓不到痕迹，一般在前期利用检测设备预警

web常规木马，不讲，讲另一个内存马部分，与webshell木马比，不需要文件，比如./shell.php?cmd=id这种形式

就是jsp木马啊进行了一个动态注册，即运行时再添加方法

对于tomcat内存马来讲，它是对Filter(过滤器)原配置文件和原注解进行了一个 添加

对于Servet内存马，也是有一个 添加

添加嘛，也许是多个组件，多个类什么的，这是我尽可能的理解了

这篇文章有介绍：https://paper.seebug.org/3120/

内存 https://cn-sec.com/archives/1493695.html

动态注册 https://www.cnblogs.com/zhangcaihua/p/12989338.html