前言
紅隊在HVV中一般使用釣魚實作突破邊界,藍隊通過釣魚實作溯源反制,但是都離不開一個好的免殺馬,這里分享一下自己的免殺程序,過火絨、360殺毒、windows defender以及賽門鐵克等主流殺軟都沒問題,
殺軟作業原理
殺軟的查殺方式有多種,比如特征識別,是基于各個廠商收集的病毒樣本,依據病毒樣本提取的病毒特征,所以殺軟的能力在一定程度上也取決于病毒庫的大小,這種基于特征識別一般是基于靜態,啟發式的作業原理基本上可以定義為動態查殺或者是機器學習方法的一種查殺手段,會依據可能執行程式或者關注應用系統重要區域行為而做出的查殺行為,
免殺手段
-
修改特征碼,可以根據污點檢測的方式定位到觸發殺軟規則的病毒樣本特征,修改明顯的特征在一定程度上是可以實作免殺的,
-
花指令免殺,在程式
shellcode或特征代碼區域增添垃圾指令,增加的垃圾指令不會影響檔案執行,在動態查殺或者檔案hash對比是校驗會不一致, -
加殼,比如upx加殼等,一般檔案落地后對比哈希值也可繞過殺軟,
-
二次編譯,一般用于對
shellcode進行二次編譯bypass殺軟, -
poweshell免殺,但是一般防護軟體或者系統本身正常呼叫powershell應用程式的時候都會產生告警,一般的安全設備是過不了的,需要在命令上使用手段繞過安全設備監測,
免殺
CS生成payload
添加監聽器,生成payload
下載go-strip.exe,混淆二進制go編譯資訊
下載地址
https://cdn.githubjs.cf/boy-hack/go-strip/releases/download/v3.0/go-strip_0.3.4_windows_amd64.zip
運行腳本bypass
go run main.go
核心內容就是加密方式
shellcode二層加密,
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
這里沒有直接放原始碼,因為擔心樣本被打標簽,這里推薦幾個專案,這里的話盡量使用go不建議python
https://github.com/TideSec/BypassAntiVirus
https://github.com/admin360bug/bypass
https://github.com/hack2fun/BypassAV/blob/master/bypass.cna
這里我修改了生成的exe,安裝火絨,查殺
CS上線
加殼
另外再加殼測驗,地址
https://upx.en.softonic.com/
簡單的壓縮殼
upx.exe -f Go_bypass.exe
加殼后生辰的exe檔案大小為406KB
可以看到加殼之前的檔案大小為1011kb
修改加殼后的檔案名為upx_Go_bypass方便確認上線狀態
成功上線,繼續查看加殼后的免殺效果
此時火絨對于有加殼前和加殼后的檔案都未報毒
雖然加殼前的報毒了,但是加殼后的未報毒,
賽門鐵克也未報毒,其它殺軟不放圖了,但是需要注意的是別使用云沙箱檢測,
總結
多測驗總會有新發現,實踐起來相對稍微容易一點兒,不過需要注意免殺之后的效果是最重要的,
更多靶場實驗練習、網安學習資料,請點擊這里>>
搜索
復制
合天智匯:合天網路靶場、網安實戰虛擬環境轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/500779.html
標籤:其他
下一篇:白話電子簽章原理及風險
