红队蓝军 | 免杀课程第五期

1.前言

基于我们课程的研发团队对往期学员的调研，我们发现即使在课程里对某些基础知识进行了讲解，但仍有部分学员反馈存在跟不上的情况。究其根本，则是没有红队体系建设或代码能力较弱导致的。若您的基础较为薄弱，我们不推荐您直接进行免杀课程的学习，针对此种情况，我们的研发团队推出了红队武器开发课程，能够快速的帮您进行红队知识体系的建设。

在本期免杀课程中，我们的研发小组对课程内容进行了优化，删除了一些与免杀关联性不大的内容，对一些课程的细节进行了改进，加入了几个新的专题，分别为：

1.ESET/NOD32专题

2.EDR专题

3.dump hash专题

4.钓鱼免杀专题

更全面的对后渗透阶段所碰到的极端环境进行讲解，构建红队知识体系。

2.常见痛点

• 懂web渗透基础，又有了一定的红队代码开发能力基础后，很多同学发现对AV/EDR束手无策，在行动中编写的木马无法上线。

• 即便上线后各种行为、流量、内存中的查杀也让渗透变得举步维艰，好不容易写出来的钓鱼马过几天又被杀软查杀。

3.课程大纲/目录

环境搭建

免杀概述

vs环境搭建

分析工具安装

基础知识

汇编基础

堆栈

c语言基础编程

编写exe/dll

导入表

IAT表

导出表

重定位表

windows api

shellcode原理

windows相关

dll注入&shellcode注入

uac白名单挖掘

模块踩踏

dll劫持挖掘

进程与线程

windows内存管理

windows异常

调试原理

PPL attack

进程强杀

hook

Inline hook

IAT hook

SSDT hook

cobalt strike免杀要点

cs模块详解

stage&stageless

C2profile

execute-assembly

bof

UDRL

Blockdlls

一些简单的二开

bypass hook

直接patch硬编码

reload

syscall

Hells Gate

Halo Gate

syscall的检测与绕过

bypass etw

patch

检测与绕过

bypass amsi

patch

硬件断点patchless

检测与绕过

anti-sandbox

抗沙箱手法

抗分析（调试）

shellcode loader编写

shellcode加密混淆（xor，rc4，aes..）

shellcode分离

shellcode api替换

x64下完全隐藏导入表

对exe的处理

降低熵

添加文件属性

自签名

windows机制

回调函数机制

APC机制

VEH机制

线程机制

LSA机制

PPL保护

【360全家桶+核晶】专题

360特性讲解

静态绕过（上线）

webshell执行被核晶拦截的绕过

certutil绕过360+核晶

powershell执行绕过

低权限下核晶的处理

绕过核晶进行远程线程注入

绕过核晶添加计划任务

绕过核晶添加用户

强杀360全家桶（开启核晶）

【windows defender】专题

defender特性讲解

静态绕过（上线）

绕过defender进行注入

强关defender

利用defender排除项

各种行为绕过

【卡巴斯基】专题

卡巴斯基特性讲解

静态绕过（上线）

绕过卡巴斯基内存扫描上线

动态绕过卡巴斯基各种行为拦截

强杀卡巴斯基

【EDR】专题

EDR原理
EDR绕过
BYOVD对抗EDR

【ESET/NOD32】专题

特性讲解
静态绕过（上线）
动态绕过各种行为拦截

【钓鱼免杀】专题

话术
探针编写
Ink钓鱼
捆绑马

【dump hash】专题

不同AV环境下的dump hash手法
mimikatz免杀
IFEO dump

*大纲内容仅作参考，会根据当期课程进度有所变化。

基础与高级课件合计近10w+字

4.课程优势

**1.全面的课程内容：**我们的课程涵盖免杀恶意软件的基本概念、编写和使用免杀工具、分析免杀攻击的技术和方法，以及最新的安全技术。无论您是初学者还是有一定经验的安全从业人员，我们的课程都能为您提供全面的知识和技能，系统的学习。

**2.由资深安全专家授课：**我们的课程由资深安全专家授课，他们拥有多年的实战经验和深厚的理论基础。围绕实战中真实存在的问题进行讲解，从web端的拦截绕过，到内网横向中AV/EDR的拦截绕过，从静态免杀上线，到各种行为拦截上的绕过、后渗透工具的免****杀，帮助您更好地理解和掌握免杀技术。

**3.灵活的学习方式：**我们的课程是在线的，您可以根据自己的时间和节奏来学习课程内容。您可以在任何时间、任何地点学习课程，无需受到时间和空间的限制。

**4.真实还原在实战工作中遇到的痛点：**比如php/jsp/asp环境下核晶对webshell进程链的拦截，核晶下对注入的拦截，对添加用户的拦截，对添加自启动的拦截。以webshell端/c2端的视角操控远端主机，并不是以上帝模式跑到对方主机上双击，更贴合实战情况！

**5.资料齐全：**我们为学员准备了全面的学习资料，包括课件、案例、实例等，以便学员在课后进行复习和巩固。

6.免杀从来都是一个不断与时俱进的过程**。我们承诺：一次付费终生学习，后续开设的所有免杀课程可无限跟听**。

5.适合人群

**1.安全从业人员：**想提升自己能力的安服/普通渗透测试人员。

**2.信安专业学生：**未来想从事后渗透红队工作，想提升自己免杀技能的学生。

**3.安全爱好者：**对绕过杀软非常感兴趣，想了解杀软机制的任何非黑灰产人员。

4.公安技术人员。

**5.企业客户：**想整体提升员工技术水平。

黑灰产请绕道。

6.你能获得什么？

**1.在不同的AV/EDR环境下能够快速绕过获取目标权限
**

**2.从webshell到后渗透整条链路的免杀方案
**

**3.各大AV/EDR的查杀特性及拦截点
**

**4.具备完整的免杀体系
**

5.一些免杀的钓鱼方案

7.课程考核

卡巴斯基Endpoint Security

eset Smart Security

Bitdefender Total Security

AVG AntiVirus

Microsoft defender

360+核晶

火绒安全

8.学员评价

免杀学员拿下大厂offer

9.课程价格/优惠

• 课程费用：5999元

• 学生出示学生证，立减300元

• 可分期（需签订合同），可开发票

以上优惠可以叠加

10.上课时间/方式/时长

每周1，3，5晚上8点上课，每节课时长在1-2h，整个周期时长2个月左右。

课程采用在线直播+录播+群答疑的形式。

每节课都会有相应的录屏，当天有事的同学可以课后自行观看录屏。

11.报名方式

课程详细咨询微信

官网地址: https://sec.zianstudy.com