杀毒与免杀技术详解---白嫖党福音

最新推荐文章于 2024-06-17 17:04:42 发布
最新推荐文章于 2024-06-17 17:04:42 发布
阅读量1.7k 收藏 11
点赞数 4
分类专栏: 分享 文章标签: 杀毒 免杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46737755/article/details/112662065
版权

简介

不管是社工钓鱼,还是一句话木马getshell,远控,亦或者是反弹shell,都会遇到杀软waf这些大敌,当然主要还是杀软,因此我们不得不考虑免杀进而实现我们渗透测试目的。

概念

1.1 免杀类别

简单总结下我知道的免杀类别:

一句话木马绕狗(我觉得他不应该出现在这里,但为了致敬我学习的第一个免杀,把他放了出来)

文件不落地
shellcode加密
修改源码增加花指令
DLL加载
自定义加载器
指定特定的运行方式
加壳

当然还可以按照大的类别划分

静态扫描免杀
内存扫描免杀
流量分析免杀
行为分析免杀
逆向分析免杀
机器学习免杀

由于弟弟水平有限,知道的东西很少(流量分析,逆向分析一点不懂,机器学习更是一脸懵逼),望哥哥们见谅,当然最好能留下些建议或者私下能和弟弟交流下。

1.2 免杀工具

推荐一些公开流传的k8工具:

文字:

sc加载器(具体下面有介绍)
K8免杀系统自带捆绑器加强版V2.0
K8数字签名添加器
K8随机免杀花指令生成器V2.0(只是生成花指令)

图片:
在这里插入图片描述
大概的总结下k8工具过免杀思路吧:

1.sc加载器实现绕过,原理在于加密
2.利用其他安全软件的数字签名,进行绕过
3.捆绑正常的软件,进行绕过
4.增加没有实用效果的花指令进行绕过(花指令需要自己加然后编译)

既然是免杀,当然不能忘记cs:
cs(Cobalt Strike)的话我只有三个版本,v3的两个版本,还有v4.0的,cs是一个强大的免杀工具,并且支持c2在线团队使用。对于很多大佬来说肯定是十分熟悉的,弟弟我只能简单的介绍下其简介:

cs拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,cs还可以调用Mimikatz等其他知名工具。

实践

说的再多也不如拿真实情况来说话,实践主要对上述的六种工具做下简单的使用,并利用线上沙箱进行简单的查杀检测。

2.1:Cobalt Strike-3.12

因为是浅谈,再有就是我实在是太懒了,能缩水就缩水,求饶过别打我。

2.1.1:安装sever

我用的啊某云的云当的sever,这里需要注意的是只能用linux的,并且安装好java,3.12的有不同的包,而4.0的只有一个包。接下来主要以3.12为主。

最低0.47元/天 解锁文章
小白^-
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
bypass-av-note:技术大杂烩---乱拳也打不死老师傅
03-31
技术大杂烩---乱拳也打不死老师傅 作者:Boi @ Linton Lab 360 [目录] 左上角按钮可以看目录树 目前的反病安全软件,常见有三种,一种基于特征,一种基于行为,一种基于云查。 对特征突出,大多数软件会定义一个阈值,当文件内部的特征数量达到一定程度就会触发报警,也不排除软会针对某个EXP会限制特定的入口函数来查。当然还有通过md5,sha1等哈希函数来识别恶意软件,这也是最简单粗暴,最容易绕过的。编码/会增加查概率的单词(某些某函数称为ExecutePayloadshellcode),加密Shellcode等。 CreateThread CreateThreadEx xxx-> ntdll.dll-> win32API 对行为本身,很多个API可能会触发软的监控,进行初始化操作,添加启动项,添加服务,添加用户,注入,劫持,创建进程,加载DLL等。可
技术有一套(方法大集结)
hackzkaq的博客
05-23 7215
零基础学黑客,搜索公众号:白帽子左一 00. 概述 什么是?来自百科的注解: ,也就是反病(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病”,翻译为“反技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就知道了。 01. 简介 大概可以分为两种情况: 二进制的(无源
基本知识,shellcode混淆
最新发布
白帽子凯哥聊黑客
06-17 926
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报,但是几分钟之内就会被检测为病程序,就是因为360会使用云查技术,这也是360查能力强的原因。
【转】基础 -技术及原理
tpriwwq的专栏
05-03 2431
的最基本思路就是去除其特征,这个特征有可能是特征码,也有可能是行为特征,只要在不修改其原有功能的情况下,破坏了病与木马所固有的特征,一次就能完成。
【网络安全】简单的方法(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-14 1871
目录一、的概念二、系统搭建三、工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于软排名不分前后1、360。2、金山霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、软的查方法1、最基础的查2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是
SD-WAN技术详解
01-26
Network)是近年来网络技术创新的一个热点,笔者结合自己的体会,和大家一起回顾这一领域的发展过程,对现状作一总结,对未来作一展望。篇幅所限,文中的示例以Cisco的解决方案为主,兼顾其它厂商。欢迎大家发表...
软件开发过程详解-.pdf
11-17
软件开发过程详解-.pdf
5G物联网及NB-IoT技术详解-综合文档
05-15
5G物联网及NB-IoT技术详解
花指令生成器(不错的工具)
03-31
汇编语言其实就是机器指令的符号化,从某种程度上看,它只是更容易理解一点的机器指令而已。每一条汇编语句,在汇编时,都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中,我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为:指令+数据。而反汇编的大致过程是:首先会确定指令开始的首地址,然后根据这个指令字判断是哪个汇编语句,然后再将后面的数据反汇编出来。由此,我们可以看到,在这一步的反汇编过程中存在漏洞:如果有人故意将错误的机器指令放在了错误的位置,那反汇编时,就有可能连同后面的数据一起错误地反汇编出来,这样,我们看到的就可能是一个错误的反汇编代码。这就是“花指令”,简而言之,花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。
详解虚拟化技术QEMU-KVM入门
09-30
主要介绍了详解虚拟化技术QEMU-KVM入门,QEMU-KVM就是KVM与QEMU的结合,KVM负责CPU虚拟化+内存虚拟化,QEMU模拟其它IO设备,感兴趣的小伙伴们可以参考一下
入门---shellcode
LvHLong的博客
05-03 5481
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 技术全称为反技术Anti Anti- Virus简称“”,它指的是一种能使病木马于被软件查技术软件工作原理 市面上的软件基本由扫描器、病特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
技术详解
人生代码,代码人生。。。
11-19 4112
[]技术详解 软件奈我何                     ——技术详解 逆流风 注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。 一、加壳 壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破
技术基础理论
qq_30528603的博客
06-08 190
区别它们的一个很重要因素亦就是它们的行为,在我们用户的视角来说它是良性的还是恶意的。只要破坏了病和木马这些恶意的特征,让它看上去人畜无害,并保持了原有的功能,那么就完成了,软件会认为它是一个正常软件。这里是和CPU打交道的最直接的地方了。那么如何对抗内存查呢,从软件的角度来看,扫描的都是特征码,都是通过对比特征码来区别恶意程序的。第二种方法也是基于特征码,如果一个文件某个特定区域的校检符合病库的特征,软件就会报,那么我们只需要对这段区域做一些处理使其通过校检,就能欺骗软。
常用技术方法
whatday的专栏
04-23 7084
00. 概述 什么是?来自百科的注解: ,也就是反病(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病”,翻译为“反技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没...
黑客攻击-木马之PE文件
helloworlddm的博客
08-16 1227
当你好不容易弄出来一个木马(具体可参考这里)的时候,却被软件轻易的就检测出来了,那一切岂不是白费了。Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么绕过这些检测? 对于此问题,打算开一个专题进行木马的分析,先从最最重要的PE文件说起,要攻击Windows系统,如果不懂PE文件,面对软件,则只能束手就擒了。 PE文件 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个
绕过软(二)——exe文件(360、火绒
热门推荐
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360,直接报,不 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值