作者前言在网络安全领域“免杀”Anti-AV/Anti-EDR一直是攻防双方博弈的核心。作为防御者不了解攻击者的“画笔”就无法画出正确的“防线”。本文将从历史演变、技术原理及防御视角带你重新审视免杀技术。一、什么是“免杀”免杀Evasion全称“免杀技术”狭义上指绕过杀毒软件AV的查杀广义上则涵盖了绕过端点检测与响应系统EDR、防火墙、甚至人工分析的所有技术手段。对于红队Red Team它是投递载荷Payload的必要前置对于蓝队Blue Team它是构建检测规则的核心依据。二、历史演变从“特征码”到“行为对抗”为了更好地理解现状我们需要回顾攻防对抗的三个时代时代核心对抗点攻击侧技术防御侧技术1.0 特征时代​文件静态特征修改木马字节、加壳、花指令病毒库签名、MD5黑名单2.0 启发时代​文件结构与行为内存加载、加密Shellcode、多态变形启发式扫描、虚拟执行沙箱3.0 对抗时代​内存与内核无文件攻击、Direct Syscalls、驱动级对抗EDR行为监控、内核回调、内存扫描现状单纯的文件查杀早已失效现代对抗的主战场已经转移到了内存Memory和行为Behavior。三、杀软是如何工作的AV vs EDR作为网安工程师你必须清楚你的对手杀软是如何看到你的。1. 传统 AV静态为主机制基于签名Signature。就像警察拿着通缉犯的画像Hash值抓人。弱点只要改变文件的一点点特征如加壳、异或加密就能轻易绕过。2. 现代 EDR动态为主机制基于 telemetry遥测数据。它不关心文件长什么样而是关心你在做什么。关键技术Hooking钩子EDR会注入DLL到你的进程中监控CreateRemoteThread,VirtualAllocEx等敏感 API 调用。ETWEvent Tracing for Windows内核层面的事件追踪记录进程创建、网络连接等行为。防御者笔记如果你在分析一个样本发现它频繁调用NtProtectVirtualMemory将内存属性改为RWX可读可写可执行这就是一个高危信号。四、MITRE ATTCK 中的免杀技术映射在实际工作中我们不使用“免杀”这个词而是使用MITRE ATTCK​ 框架中的标准术语。以下是常见的免杀技术对应的 ATTCK ID技术名称ATTCK ID描述Obfuscated Files or Information​T1027对文件和信息进行混淆加密、编码。Masquerading​T1036伪装成系统文件或合法进程如 svchost.exe。Process Injection​T1055将代码注入到其他进程中以躲避监控。Reflective Code Injection​T1620将代码反射加载到内存中不在磁盘落档。Indicator Removal​T1070清除日志、篡改时间戳。五、实验环境搭建防御者沙盘在开始研究之前请务必搭建隔离的实验室环境。切勿在生产环境或互联网上进行测试。1. 硬件与虚拟化宿主机建议使用 LinuxKali/Ubuntu或 Windows 10/11。虚拟机VMware Workstation 或 VirtualBox。网络Host-Only 模式严禁桥接或 NAT防止样本外溢。2. 靶机配置Windows 10/11关闭 Windows Defender 实时保护用于测试其他EDR。服务器Windows Server 2019模拟域环境。3. 必备工具清单防御视角类别工具名称用途静态分析​IDA Pro / Ghidra​逆向工程查看汇编逻辑。动态调试​x64dbg / WinDbg​动态跟踪程序执行流程。行为监控​Process Monitor (ProcMon)​监控文件、注册表、网络、进程活动。API监控​API Monitor​查看程序调用的具体 Windows API。沙箱​Any.Run / Hybrid Analysis​在线分析样本行为上传前脱敏。日志​Sysmon Elastic Stack​收集和分析 Windows 事件日志。六、总结与下期预告本期我们梳理了免杀的基本概念和防御者的观察视角。记住所有的免杀技术本质上都是在试图打破“文件-内存-行为”这条链路上的某个监控环节。如果防御者只看文件我就搞内存如果防御者看内存我就搞行为伪装如果防御者看行为我就搞环境逃逸。下期预告我们将深入探讨《第二期静态特征的识别与对抗》。我将教你如何编写YARA 规则​ 来捕捉那些试图通过简单加密和混淆来隐藏自己的恶意代码并解析字符串加密的原理。 思考题供读者留言讨论在你的企业环境中如果一台主机的 PowerShell 突然执行了一段 Base64 编码的命令你会如何区分这是管理员的运维操作还是攻击者的免杀行为