前言
免杀技术全称为反杀毒技术 Anti-Virus 简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术,内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。
裸奔木马
1、在 Kali 中直接使用 Msfvenom 生成木马文件,不做任何免杀处理,如下图所示:
2、在 Kali 开启 Apache 服务,同一局域网内的 Win 10 物理主机访问木马文件,尝试下载:
3、结果 Win 10 物理主机的火绒安全软件自动识别木马,并自动将其移除至病毒隔离区:
4、手动从病毒隔离区移出木马QQ.exe,上传至腾讯哈勃分析系统进行在线病毒识别分析,结果只是“轻度风险”(Emmm……我只能说腾讯你跟病毒是亲家么)如下:
5、此时再用火绒安全对木马文件进行杀毒扫描,来看看其扫描分析结果:
显然,单纯依靠单独一个病毒引擎对风险文件进行识别不太可靠,下面介绍一款在线的多引擎病毒识别工具。
在线杀毒
VirusTotal,是一个提供免费的可疑文件分析服务的网站。2004年6月由创始人Hispasec Sistemas创立。它与传统杀毒软件的不同之处是它通过多种反病毒引擎(包含360、腾讯、微软、赛门铁克等)扫描文件,使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。这样大大减少了杀毒软件误杀或未检出病毒的几率,其检测率优于使用单一产品。
1、VirusTotal 的扫描页面如下所示:
2、来看看 VirusTotal 对以上未经免杀处理的木马的扫描结果,多个病毒引擎一致将其识别为病毒文件,高达56/70的病毒引擎识别比例:
3、同时还可以进一步查看该病毒文件的行为分析结果:
VirusTotal的反病毒引擎已经多达40种以上,但是也不能保证该网站扫描通过的文件就彻底无害,毕竟道高一尺,魔高一丈。事实上,没有任何一款软件可以提供100%的病毒和恶意软件检测率,杀毒软件所做的就是最大限度的避免用户受到侵害。该网站支持电子邮件或直接上传的两种方式分析文件。此外,VirusTotal每15分钟更新一次病毒资料库,可以实时提供最新的反病毒引擎以检测出大部分可能的威胁。
MSF编码
在 Meatsploit 框架下免杀的方式之一就是使用MSF编码器。其功能是对攻击载荷文件进行重新的排列编码,改变可执行文件中的代码形状,避免被杀软认出。MSF 编码器可以将原可执行程序重新编码,生成一个新的二进制文件,这个文件运行以后,MSF 编码器会将原始程序解码到内存中并执行。
1、在kali终端输入msfvenom -l encoders列出所有可用编码格式:
2、在 Kali 中下载 Notepad 软件的安装包,用于后面将木马程序捆绑到该程序上面,以便于木马的感染和传播:
【注意】Meatsploit 自带了用于捆绑木马的程序模板,其位置在data/templates/template.exe,虽然这个模板经常会更新,但是其仍是各大反病毒木马厂商的关注重点。为了更好地实现免杀,此处自主选择一个待捆绑程序。
3、使用以下命令生成 Windows环境下的木马、并捆绑到npp.7.8.5.installer.exe文件上,同时对木马文件进行x86/shikata_ga_nai编码方式的免杀处理:
解释下其中的部分参数的含义:
| 参数 | 备注 |
|---|---|
| -e | 指定编码方式对攻击载荷进行重新编码 |
| -x | 指定木马捆绑在哪个可执行程序模版上 |
| -i | 指定对目标进行编码的次数,多次编码理论上来讲有助于免杀 |
| -f | 指定MSF编码器输出的程序的格式 |
| -o | 指定处理完毕后的文件输出路径 |
4、将木马文件传输给 Win 7虚拟机:
5、在 Kali 攻击机运行 MSF 进入木马监听状态,然后运行 Win 7中的木马文件(原安装程序已损坏,无法正常安装),即可成功获得 Shell ,如下图所示:
6、此时在线对该木马文件进行查杀,VirusTotal 的检测结果如下:
42/71的病毒引擎识别比例,比原生的裸奔木马56/70的识别比例要低一些,其中可以看到 腾讯、赛门铁克、百度等知名杀毒引擎也未将其识别:
UPX加壳
upx 打包器的原理非常简单,就是将可执行文件中的代码和数据进行压缩,然后将解压缩用的代码附加在前面,运行的时候先将原本的可执行数据解压出来,然后再运行解压缩后的数据。打包器的本质目的是反调试,防止逆向工程,而这里使用打包器的目的是为了改变后门程序的特征码。
1、Kali 内置了 upx 工具,执行 upx 命令可查看简略的参数介绍:
2、执行以下命令,对刚才生成的木马文件进行加壳处理:
3、将加壳后的木马传输给 Win 7主机后执行,Kali可进行正常的连接和监听:
4、使用 VirusTotal 对当前木马文件进行病毒检测,结果如下:
33/72的病毒引擎识别比例,比单纯经过 MSF 编码处理的的木马文件41/71的识别比例低。
其他免杀
在Github上还有几个常见的用于木马免杀的工具,如:Shellter、Veil、Avet、Venom等,经实践目前免杀效果一般,还不如上面33/72的免杀效果,大概是其免杀技术已被安全厂商盯上并已做出对应检测技术,故此处不做介绍了。如有兴趣可参考某大佬一篇博文:【免杀测试】Kali之Metasploit几款工具免杀练习。
总结
道高一尺,魔高一丈。杀毒软件的更新是非常快的,这里给出的方法和过程在今天还是可行的。但过了几个月之后,免杀技术就有可能出现重大的变化和更新。免杀技术需要不断地磨练与实践,才能在实战中提高成功率。
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
