用户
搜索
  • TA的每日心情
    慵懒
    前天 18:15
  • 签到天数: 165 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋作家

    推荐小组副组长

    Rank: 7Rank: 7Rank: 7

    61

    主题

    172

    帖子

    573

    魔法币
    收听
    2
    粉丝
    4
    注册时间
    2017-12-4

    i春秋认证秦幽默灌水王突出贡献春秋文阁积极活跃奖核心白帽i春秋签约作者i春秋推荐小组楚

    夜莺 i春秋作家 推荐小组副组长 i春秋认证 秦 幽默灌水王 突出贡献 春秋文阁 积极活跃奖 核心白帽 i春秋签约作者 楼主
    发表于 2018-1-9 10:47:25 65495
      文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用

      在写这篇文章之前,我想先说明下反病毒软件的扫描原理。反病毒软件主要基于签名技术识别病毒,反病毒软件的扫描程序会扫描特定的字符串,然后与病毒库进行比对,如果比对成功,那么反病毒软件就会报警。

      作为一名渗透测试人员或爱好者,木马后门的运用是必不可少的,但是在杀毒软件日趋强大的情况下,普通的木马根本就无法生存。这就催生出了免杀技术。而在免杀与杀毒软件的斗争中,免杀的方法技术也在一步一步改进。常见的免杀手段有特征码修改、内存免杀和对文件的免杀。在这里我就为大家介绍几款免杀效果比较好的免杀工具。

    Dsplit和Evade(Github上有,这里不贴地址)
      这两款工具都是把可执行文件进行分隔,最终生成很多内容不同的文件。假如您有一个50KB的文件,对文件的前5KB大小的信息进行取样,则可生成10个取样文件。第一个文件只会有文件的前5KB信息,第二个文件则由第一个文件的5KB信息和此后的5KB信息组成。以此类推,所有的文件都包含原文件的前5KB信息。

      思路:通过切割工具将我们的目标文件切割成若干后,将尺寸最小的文件丢到https://www.virustoal.com上去检测,去观察这个取样文件是否含有可触发反病毒软件的特征签名?如果没有,就挨个测下去,直到触发,就可以判断在上一个文件的结束地址和这次扫描的文件结束地址之间有匹配了反病毒软件某个签名的特征字符串。接着去修改特定字符串去避开(在不影响程序正常功能的前提下)。这里只是讲述反病毒软件的缺陷,并演示规避他们检测手段的一种方法。

    Shellter
      Shellter 是一个开源的免杀工具,利用动态Shellcode注入来实现免杀的效果。
      我们在kali中输入以下命令去安装Shellter:
      apt-getinstall shellter //安装Shellter
      whereis shellter
      wineshellter.exe //运行Shellter
      进入我们炫酷的Shellter界面
       1.png
      这里我们选择A(A代表自动模式,PE Target是进行免杀的exe预注入文件路径,程序会被备份到shellter_backup文件夹下,防止原文件被破坏)
      后续步骤
       1.png
    L选择攻击载荷
       1.png
      生成成功。
      Veil-Evasion
      Kali中输入以下命令
      切换到Veil-Evasion/setup/目录下运行setup.shcd Veil-Evasion/setup/ ./setup.sh安装有点慢,这里略过。。。
      输入list查看该工具所有模块
       1.png

    这里用34模块进行测试
       1.png
    Set LHOST 172.16.2.104
      //设置监听机Set LPOST 4444  
      //设置监听端口Run
      //生成免杀后门
       1.png
      注意,需要自己为免杀后门取名或者默认即可,还要为免杀后门选择一种编译方式,这里我们选择免杀效果更好的第2种方式进行编译。
       1.png
    当出现下图时证明木马已经生成,会提示木马所在位置:
       1.png
    实测查杀效果  
       1.png
      Avet(BlackHat新工具)
      Kali中输入以下命令进行安装
      安装后如果出现报错的问题,编译一下两个.c文件:
      cd avet-master
      gcc -o make_avet make_avet.c
      gcc -o sh_format sh_format.c
       1.png
      安装完成后,找到自己要使用的攻击载荷,切换到/avet/build目录找到相应的.sh文件,对相应的Lhost和Lport进行相应的修改。

       1.png
      用wine安装tdm-gcc(我是在物理机下载后复制过来安装)
      wine tdm64-gcc-5.1.0-2.exe
      然后再用切换到/avet目录执行./build/相应的载荷,如下图。  
       1.png
      生成的.exe文件就在avet文件夹内,默认名称为pwn.exe。
      备注:各大免杀工具生成的恶意软件安全期约为一周左右,之后很大可能性被查杀。

      最新的无特征免杀法:
      何为无特征免杀法?就是脱离传统的定位方法,直接盲免,就对于整体区段进行异或加密,是整体代码发生变换,从而逃脱杀毒软件的查杀,是当今最流行的方法。(目前楼主还未掌握)。

      本帖将持续更新免杀工具,希望大家将工具用于安全学习,禁止非法使用。





    评分

    参与人数 1魔法币 +50 收起 理由
    XiaoYue97 + 50 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    低调求发展,潜心学安全 个人博客www.shallowdream.cn
    楼主一生平安,低调求发展
    使用道具 举报 回复
    愿楼主一生平安,已收藏
    使用道具 举报 回复
    发表于 2018-1-10 10:37:09
    谢谢楼主分享!学习了~
    使用道具 举报 回复
    发表于 2018-1-10 17:02:34
    想问一下这个一周的免杀安全期是什么原理?望表哥不吝赐教
    使用道具 举报 回复
    发表于 2018-1-11 09:18:57
    夕立 发表于 2018-1-10 17:02
    想问一下这个一周的免杀安全期是什么原理?望表哥不吝赐教

    一周内你所用的免杀方法可能就被免杀软件知道了,进而查杀你的***
    低调求发展,潜心学安全 个人博客www.shallowdream.cn
    使用道具 举报 回复
    发表于 2018-1-12 10:16:05
    愿楼主一生平安,已收藏
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册