免杀对抗|特征码&加壳&资源 Bypass AV

#知识点：1、加壳技术2、资源修改3、特征码定位
#以下环境采用MSF或CS生成的Shellcode编译EXE测试

原理解析：1.不想让别人随便改动，即为了保护软件不被破解，通常都是采用加壳来进行保护。2.需要把程序搞小一点。于是需要用到一些软件，它们能将exe可执行文件压缩。3.给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。利用工具：UPX ASPack VMPoject等壳

原理解析：通过修改执行文件的资源文件伪造正规文件达到欺骗，如版权信息,数字签名,位图图标等信息，模拟正常安全文件。利用工具：Restorator 数据签名添加器

原理解析：特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。
使用工具：Myccl 支持多种格式文件定位 半自动VirTest 只支持EXE格式文件定位 全自动