简介

近两年随着hw和红蓝对抗的增多，接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道，但防护水平明显感觉提升了一大截，先不说防护人员的技术水平如果，最起码各种云WAF、防火墙、隔离设备部署的多了，服务器上也经常能见到安装了杀软、软waf、agent等等，特别是某数字杀软在国内服务器上尤为普及。这个时候，不会点免杀技术就非常吃亏了。

免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。

条件触发式远控 VT 5/70 免杀国内杀软及defender、卡巴斯基、火绒等主流杀软 

免杀原理

条件触发 

众所周知，现在很多杀软都有云查杀，会把我们的样本扔到沙盒跑一跑。

由于不知道具体规则，这里猜测沙盒可能从两个点对样本进行查杀 第一个是hash/提取的特征 第二种是跑一遍软件看行为。

那我们就一个一个来，首先看一下我们的样本有没有被提取特征，这也是最伤筋动骨的，如果被提取了特征那么就得重新对源码进行修改

将加载的shellcode从源码去掉，然后生成exe查杀：

既然沙盒一定会跑一次exe，那么我们可以给exe设置条件，我们让他执行它才能执行，这样便可以避过沙盒的部分机制，因为沙盒运行软件是无效的，它并不能建立连接。

那怎么做呢 这里提供几种思路

1、设置参数获取用户输入 如果输入参数符合程序规则，则加载shellcode发起连接。

2、通过设置

最后

以上就是积极魔镜为你收集整理的go混淆实现bypassAV（cobaltstrike免杀） 简介免杀原理的全部内容，希望文章能够帮你解决go混淆实现bypassAV（cobaltstrike免杀） 简介免杀原理所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。