文章来源 :MS08067实验室
“第一期”2022.4.23开班
免杀,wiki百科:反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等安全技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。
近几年随着HVV和红蓝对抗的发展,越多越多的涉及到内网渗透、域渗透、红队攻击等。在安全厂商的设备日趋成熟、整个社会安全意识普遍提升的背景下,各种杀毒软件、云WAF、软WAF、防火墙、隔离设备等已经相当普及,渗透测试工程师在渗透测试过程中编写免杀的难度和成本也日益增长,而很大一部分的Web渗透工程师对逆向和二进制都不是很熟悉,编译运行别人的代码都很费劲,在如今的大环境下,你再不会点免杀技术就非常的吃亏了。
您有没有过使用加密产品保护软件,却被杀毒软件误认为是病毒?
辛辛苦苦整理好的工具集合,却悄悄地被杀毒软件搞得支离破碎?
渗透工作中好不容易拿到系统权限,上传的工具却无一幸免的被杀?
工作中使用的安全检测产品,又被杀毒软件一次次的误杀?
这时就需要使用免杀技术来应对这些不稳定因素,免杀技术已经成为了信息安全课题中非常重要的一部分。
MS08067在这个背景下推出“免杀实战课”,有别于现今市面上一些急于求成,通过一些“小众工具”来实现免杀的方法和技巧。
而是从免杀的前置基础知识(这对免杀来讲非常重要)讲起,从杀毒软件的原理分析、代码特征的分析与免杀、Windows操作系统机制及实战免杀到针对通信特征的免杀、文本恶意代码免杀、非代码方式的免杀、免杀集成cobalt strike、免杀武器化等,希望不仅在技术上能够带给大家提高,更能在思想上带来一个质的飞跃!
本课程从0基础开始讲解,适合信息安全专业的学生、软件安全爱好者、软件逆向技术相关人员、反病毒工程师、免杀技术爱好者等人群学习。
▼
每期班定价1999,第1期班首发价:1699(前40名学员转发本文送365元二进制逆向知识星球)
每个报名学员都可享受一次“免费重听后续任意一期直播课(不含录播)”的权益,一次没学懂就再来一遍!
星球成员或者已报其他班的同学,可享优惠价1499元~
1.可直接登录官网在线报名,报名地址:https://www.ms08067.com/my/course/18(复制链接到浏览器即可~)
2.可加客服微信报名,客服二维码如下👇
(扫描上方二维码可添加客服报名~)
本次培训班的每一节课程都会被录制成视频上传到官方网站,学员可随时随地在线观看(www.ms08067.com)
所有课件和相关源码资料也会上传到官方WIKI(wiki.ms08067.com)
每周五、六、日的晚间 19:30-21:30,共20节课,每节课2小时。
如果无法准时参加直播课程,在线培训的每节课程都会被录制成视频上传到官方网站(www.ms08067.com),可随时随地在线观看。
培训采用WIKI预习+在线直播学习+网站录播复习+微信群解答的形式
讲师A:MS08067安全实验室核心成员,前某国企安全研究员,擅长APT攻击和社会工程学。
讲师B:MS08067安全实验室核心成员,主要从事渗透测试、安全开发等方向研究。多次参加国家护网行动,拥有多年红队经验。
讲师C:MS08067安全实验室核心成员,前知名乙方研究员,擅长免杀。
| 第1-2天 | 基础课程 C++与其他编程语言基础 C++语法规范、C++数据类型; C++多变量集合、C++控制流程; C++函数定义及使用、C++指针; C++学习技巧与方法; 其他编程语言学习方法; 其他编程语言基础(python、go); Windows API基础 WindowsAPI概念及存在方式; WindowsAPI使用方式及调用过程; WindowsAPI功能学习与技巧; 汇编基础 汇编语法规范与数据类型; 汇编操作符与控制流程; 汇编函数的定义与调用; 汇编堆栈处理; 64和32汇编的区别; |
| 第3天课 | 免杀与恶意代码、反病毒基础 恶意代码的基本概念及危害; 反病毒的发展与影响; 免杀学习路径及方法; 需要额外补充的知识点; |
| 第4天课 | shellcode上线流程深入浅出 分析shellcode源码; 剖析其实现的主要细节; 动手修改shellcode; |
| 第5天课 | shellcode加载器免杀 加载器的基本原理; 加载器的编写过程及学习方法; |
| 第6天课 | Trojan实现 分析Trojan远控的三大流控; 代码实现三大流控; |
| 第7天课 | PE结构与动静态调试 pe结构及内容; 手动观察pe结构; 自动分析pe结构; 简单的静态与动态调试; 实战操作:捆绑木马 |
| 第8天课 | 杀毒软件原理分析 杀毒软件基本结构; 杀毒软件沙盒模式分析; 杀毒软件代码查杀分析; 杀毒软件内存查杀分析; |
| 第9天课 | 手动与自动分析木马代码特征 手动分析木马代码特征; 基于正则的自动化木马代码特征分析; 基于AI的自动化木马代码特征分析; |
| 第10天课 | Windows操作系统机制及实战免杀 常见加载方式及实战; 回调函数机制及实战; apc、seh、tls机制及实战; 动态获取api函数及实战; |
| 第11天课 | 针对代码特征的免杀 替换或混淆加载方式; 分离或加密shellcode(密码学基础、xor加密实战、aes加密实战、rsa加密实战、rc4加密实战); 从文件不可读的思路:加壳与花指令; |
| 第12天课 | 免杀武器化之 自写私有壳免杀 前置知识和免杀方法; 免杀壳 - 伪装; 壳代码纯shellcode开发; API字符串隐藏; shellcode传参方式与动态获外部参数; 入口点模糊技术; 反沙箱分析; 内存加载PE&支持壳上壳; |
| 第13天课 | 免杀武器化之 syscall免杀 EDR检测与绕过原理; SysWhispers2; Hell's Gate; Halo's Gate; Tartarus' Gate; |
| 第14天课 | 免杀武器化之 云oss自动化免杀 云oss自动化免杀介绍; 腾讯oss配置; 免杀生成与测试; |
| 第15天课 | syscall免杀集成cobalt strike cs框架介绍; cs模块功能分析; 编写cna; |
| 第16天课 | 加壳pe免杀集成cobalt strike 编写cna 测试生成上线 |
| 第17天课 | 针对通信特征的免杀 通信协议基础与通信结构基础; 木马的通信过程与内容分析; 通信协议的加密; 通信内容的伪造; ip地址的保护; |
| 第18天课 | 非代码方式的免杀 白加黑方式的免杀 dll劫持的免杀 |
| 第19天课 | 文本类恶意代码免杀 Webshell免杀(从内容的角度及通信结构的角度思考免杀); Powershell免杀(加密与编码、代码结构上的混淆); Office宏文件免杀(代码混淆机制、利用office的机制); |
▼
如何提前预习
为更顺利的完成课程相关内容,请同学一定要提前预习相关知识点,已经报名的同学,参加转发朋友圈赠送“二进制逆向知识星球”活动,学习相关的内容。
为什么选择MS08067?
MS08067近年来在安全界的口碑还是有目共睹的,特别是对信安感兴趣的学生、爱好者做了些有意义的事情,是真心实意的为读者,绝无半点虚假,做星球的初衷也是为了满足读者对于图书配套视频的需求,不像一些培训把心思花在宣传、花在“卖教程”上,实验室4年出版了4本原创图书就可以看出我们的初心和技术能力。
此次培训围绕红队攻击中的实战应用,重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员,拥有多年的实战工作经验,让您所学的技术可以在企业中真正用得上。
很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。
最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。
你距离免杀大佬,只差一个决定
报名咨询联系小客服
扫描下方二维码加入星球学习
加入后邀请你进入内部微信群,内部微信群永久有效!
如有侵权请联系:admin#unsafe.sh