2301_78838647的博客

免杀：通过技术手段修改恶意代码的特征或行为，使其绕过杀毒软件、终端检测与响应、云查杀等安全产品检测的技术。其核心目标是让恶意代码合法运行在目标主机上，同时不触发安全告警。早期免杀：以修改特征码为主，通过修改病毒/木马的静态字节（如替换字符串、修改 PE 头）绕过杀软的哈希、特征码比对。中期免杀：杀软引入行为检测和启发式引擎后，免杀转向行为伪装，如模拟正常进程操作、延迟恶意行为，代表工具如Cobalt Strike（CS）、Metasploit（MSF）。

CloseHanlde检测调试调试器的工作流程调试器工作流程如下：1.被调试程序未运行，通过调试器创建进程，也就是我们常见的直接将被调试程序拖入调试器中。其原理是调试器通过CreateProcess并设置DEBUG_PROCESS模式，此时该进程以调试的形式启动。2.被调试程序已运行，通过调试器附加进程，也就是我们通过调试器内部手动以附加进程的方式调试被调试程序，其原理是调试器通过调用DebugActiveProcess函数，此时该进程以调试的形式启动。

HOOK是用来获取或更改程序执行时的某些数据，或者是用于更改程序执行流程的一种技术HOOK主要有以下两种形式：1.修改函数代码：如Inline HOOK，HotFix HOOK2.修改函数地址：如IAT HOOK， 虚表HOOK简单的讲，如果一个函数被HOOK，那么这个函数就可以随意的被修改接下来我们将讲解常见的HOOK手法。

所谓注入就是在第三方进程不知道或者不允许的情况下将模块或者代码写入对方进程空间，并设法执行的技术。注入主要分为两种方式：dll注入和代码注入。接下来我们将针对这两种注入方式展开讲解。