免杀实战学习看这篇就够了~
2022-9-22 11:51:34 Author: Ms08067安全实验室(查看原文) 阅读量:62 收藏

          

“第二期”2022.9.30开班

第二期新增:除了对课程进行了优化,另增加了2节课,免杀实战中的常见技法,dll文件及编写和反沙盒和反调试机制;常见的恶意代码中的加壳和常见的恶意代码中的脱壳。

免杀,wiki百科:反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等安全技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。

近几年随着HVV和红蓝对抗的发展,越多越多的涉及到内网渗透、域渗透、红队攻击等。在安全厂商的设备日趋成熟、整个社会安全意识普遍提升的背景下,各种杀毒软件、云WAF、软WAF、防火墙、隔离设备等已经相当普及,渗透测试工程师在渗透测试过程中编写免杀的难度和成本也日益增长,而很大一部分的Web渗透工程师对逆向和二进制都不是很熟悉,编译运行别人的代码都很费劲,在如今的大环境下,你再不会点免杀技术就非常的吃亏了。

您有没有过使用加密产品保护软件,却被杀毒软件误认为是病毒?

辛辛苦苦整理好的工具集合,悄悄地被杀毒软件搞得支离破碎?

渗透工作中好不容易拿到系统权限,上传的工具却无一幸免的被杀?

工作中使用的安全检测产品,又被杀毒软件一次次的误杀?

这时就需要使用免杀技术来应对这些不稳定因素,免杀技术已经成为了信息安全课题中非常重要的一部分。

MS08067在这个背景下推出“免杀实战课”有别于现今市面上一些急于求成,通过一些“小众工具”来实现免杀的方法和技巧

而是从免杀的前置基础知识(这对免杀来讲非常重要)讲起,从杀毒软件的原理分析、代码特征的分析与免杀、Windows操作系统机制及实战免杀到针对通信特征的免杀、文本恶意代码免杀、非代码方式的免杀、免杀集成cobalt strike、免杀武器化等,希望不仅在技术上能够带给大家提高,更能在思想上带来一个质的飞跃!

本课程从0基础开始讲解,适合信息安全专业的学生、软件安全爱好者、软件逆向技术相关人员、反病毒工程师、免杀技术爱好者等人群学习。

每期班定价1999,第2期班预售价:1899,过后恢复原价~

每个报名学员都可享受一次“免费重听后续本课程任意一期直播课(不含录播)”的权益,一次没学懂就再来一遍

星球成员或者已报其他班的同学,可享优惠价1699元~

 登录官网

1.可直接登录官网在线报名,报名地址:https://www.ms08067.com/goods/show/52(复制链接到浏览器即可~)

 加客服报名

2.可加客服微信报名,客服二维码如下👇

(扫描上方二维码可添加客服报名~)

本次培训班的每一节课程都会被录制成视频上传到官方网站学员可随时随地在线观看(www.ms08067.com)

每周五、六、日的晚间 19:30-21:30,共21节课,每节课2小时。

如果无法准时参加直播课程,在线培训的每节课程都会被录制成视频上传到官方网站(www.ms08067.com),可随时随地在线观看。

培训采用WIKI预习+在线直播学习+网站录播复习+微信群解答的形式

网站录播复习

 微信群解答

    

讲师介绍

讲师A:MS08067安全实验室核心成员,前某国企安全研究员,擅长APT攻击和社会工程学。


讲师B:MS08067安全实验室核心成员,主要从事渗透测试、安全开发等方向研究。多次参加国家护网行动,拥有多年红队经验。


讲师C:MS08067安全实验室核心成员,前知名乙方研究员,擅长免杀。

全新课程大纲

全新课程目录

第1-2课

(预习)

C++与其他编程语言基础

C++语法规范

C++数据类型

C++多变量集合

C++控制流程

C++函数定义及使用

C++指针

C++学习技巧与方法

其他编程语言学习方法

其他编程语言基础(python、go)

Windows API基础

windowsAPI概念

windowsAPI存在方式

windowsAPI使用方式

windowsAPI调用过程

windowsAPI功能学习与技巧

汇编基础

汇编语法规范

汇编数据类型

汇编操作符与控制流程

汇编函数的定义与调用

汇编堆栈处理

64和32汇编的区别

第3

恶意代码与反病毒的基本概念和介绍

恶意代码的基本概念及危害

反病毒的发展与影响

学习路径及方法

需要额外补充的知识点

第4

shellcode上线流程深入浅出

分析shellcode源码

剖析其实现的主要细节

动手修改shellcode

第5

Trojan实现

分析Trojan远控的三大流控

代码实现三大流控

第6

shellcode加载器基础

加载器的基本原理

加载器的编写过程及学习方法

第7

PE结构与动静态调试

pe结构及内容

手动观察pe结构

自动分析pe结构

简单的静态调试

简单的动态调试

实战操作:捆绑木马

第8

杀毒软件原理分析

杀毒软件基本结构

杀毒软件沙盒模式分析

杀毒软件代码查杀分析

杀毒软件内存查杀分析

第9

手动与自动分析木马代码特征

手动分析木马代码特征

基于正则的自动化木马代码特征分析

基于AI的自动化木马代码特征分析

第10

Windows操作系统机制及实战免杀

常见的几种加载方式及实战

回调函数机制及实战

apc机制及实战

seh机制及实战

tls机制及实战

线程机制及实战

动态获取api函数及实战

第11

针对代码特征的免杀

替换或混淆加载方式

分离或加密shellcode:

密码学基础

xor加密实战

aes加密实战

rsa加密实战

rc4加密实战

从文件不可读的思路:加壳与花指令

12课

免杀武器化之自写私有壳免杀

前置知识和免杀方法

免杀壳 - 伪装

壳代码纯shellcode开发

API字符串隐藏

shellcode传参方式

shellcode动态获外部参数

入口点模糊技术

反沙箱分析

内存加载PE&支持壳上壳

13课

免杀武器化之syscall免杀

EDR检测与绕过原理

SysWhispers2

Hell's Gate

Halo's Gate

Tartarus' Gate

14课

免杀武器化之oss自动化免杀

oss自动化免杀介绍

腾讯oss配置

免杀生成与测试

15课

syscall免杀集成cobalt strike

cs框架介绍

cs模块功能分析

编写cna

16课

加壳pe免杀集成cobalt strike

编写cna

测试生成上线

17课

针对通信特征的免杀

通信协议基础

通信结构基础

木马的通信过程与内容分析

通信协议的加密

通信内容的伪造

ip地址的保护

18课

非代码方式的免杀

白加黑方式的免杀

dll劫持的免杀

19课

文本类恶意代码免杀

Webshell免杀

(从内容的角度思考免杀;从通信结构的角度思考免杀)

Powershell免杀

(加密与编码;代码结构上的混淆)

Office宏文件免杀方法

(代码混淆机制;利用office的机制)

20课

免杀实战中的常见技法(二)

dll文件及编写

反沙盒和反调试机制

21课

免杀实战中的常见技法(二)

常见的恶意代码中的加壳

常见的恶意代码中的脱壳

*大纲仅作为参考,会根据当期进度有所变化。

 如何提前预习 

为更顺利的完成课程相关内容,请同学一定要提前预习相关知识点,已经报名的同学,到官网学习相关的内容。

 为什么选择MS08067?

MS08067近年来在安全界的口碑还是有目共睹的,特别是对信安感兴趣的学生、爱好者做了些有意义的事情,是真心实意的为读者,绝无半点虚假,做星球的初衷也是为了满足读者对于图书配套视频的需求,不像一些培训把心思花在宣传、花在“卖教程”上,实验室4年出版了4本原创图书就可以看出我们的初心和技术能力。

此次培训围绕红队攻击中的实战应用,重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员,拥有多年的实战工作经验,让您所学的技术可以在企业中真正用得上。

很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。

最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。

    你距离免杀大佬,只差一个决定      

报名咨询联系小客服

—  实验室旗下直播培训课程  —


来和10000+位同学加入MS08067一起学习吧!


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247503117&idx=2&sn=6c6bde6691ab1e1f38631b04d2199514&chksm=fc3c740ccb4bfd1aab1fc38eb06997b9c96bc567fbd18c70c4f9e05ed0d1e1324c20ffc7a0d3#rd
如有侵权请联系:admin#unsafe.sh