PE文件检测

PE(Portable Executable)可执行文件，该文件酱油Windows加载器执行代码、引用库、导入和导出API表等
检测方法一般如下
1. 基于字符特征的检测方法（静态）
2. 启发式检测方法（单步跟踪/静态分析）
3. 基于行为的检测方法（动态）

AV(Anti Virus)躲避技术

一般来说分磁盘/内存两种

磁盘

1. 打包（修改特征码、减小体积）
2. 混淆（花指令、重组等）
3. 加密Crypters（改变可执行代码，在内存中执行加密文件）
4. 软件保护（反逆向、反调试、虚拟机检测）

内存

一般流程如下
1. 利用Windows API向正常PE进程注入攻击代码
2. 获得目标进程Handle并分配空间
3. 将恶意代码注入到新分配内存中
4. 执行内存中的恶意代码

除此之外还有反射DLL注入技术、进程挖空技术、内连挂载技术等
下面有一种使用Powershell的内存注入方法
Todo:有空再补

Shellter

Windows下动态shellcode注入工具，在kali中使用时需要借助Wine环境
原理如下

对PE文件进行深入分析，将payload注入到另一个正常文件之中
改变PE文件的Section权限，并创建新的Section
使用现有的PE Import Address Table(IAT)条目来定位将用于内存分配、传输和执行负载的函数
省流：将Payload加载到一个正常的程序中

sudo apt install wine
sudo dpkg --add-architecture i386&apt update&apt -y install wine32
shellter