武道至尊帝临小说,欢乐颂小说在线阅读,完美世界txt下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

那些年，我們用來“躲避”殺毒軟件的工具

*本文僅供安全研究和教學(xué)用途，禁止非法使用

為城步等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及城步網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站建設(shè)、網(wǎng)站制作、城步網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

在滲透測(cè)試的時(shí)候，我們可能需要規(guī)避殺軟程序，特別是在post攻擊階段要在目標(biāo)機(jī)器上執(zhí)行特定文件的時(shí)候。有時(shí)候，繞過特定的殺軟是一個(gè)挑戰(zhàn)，因?yàn)椴]有標(biāo)準(zhǔn)的規(guī)避殺毒軟件的方法和技術(shù)。因此，我們需要嘗試一個(gè)不同的方法來繞過它們。這篇文章將介紹常用的規(guī)避殺軟的工具。

文件分割和十六進(jìn)制編輯器

我們要討論的第一個(gè)技術(shù)就是使用文件切割工具來定位殺軟檢測(cè)的特征，然后修改它。這是一個(gè)比較老的繞過殺軟的辦法。如果我們能夠精確定位出被檢測(cè)的特征，這個(gè)技術(shù)是很有效的。然而，這個(gè)技術(shù)也有限制。如果我們破壞了應(yīng)用程序的功能，即便我們規(guī)避了殺軟也是無用的。所以，只要我們?cè)谛薷奶卣鞯臅r(shí)候沒有改變它的功能，就是可以的。

這可以使用文件分割工具來實(shí)現(xiàn)，它能把二進(jìn)制分割成多個(gè)部分。分割方式應(yīng)該是這樣的，每一個(gè)部分都比前一個(gè)部分多一個(gè)固定大小的內(nèi)容。然后，我們使用殺軟掃描這些分割好的塊兒，判斷哪一個(gè)塊兒被首先標(biāo)記為惡意軟件。我們需要重復(fù)這個(gè)過程直到定位出特征的確切位置?！癉split”和“Evade”之類的工具就可以用來分割文件。一旦定位出特征，我們需要修改它然后保存。

讓我們用一個(gè)例子來說明它是怎樣對(duì)抗殺軟的吧。

我從這里下載了wce.exe。這是在post攻擊階段常用的獲取明文口令的工具。

當(dāng)我們?cè)趘irustotal.com上掃描這個(gè)工具時(shí)，56個(gè)殺軟中有47個(gè)把它識(shí)別為惡意軟件。

通過使用Dsplit，我們發(fā)現(xiàn)殺毒軟件使用歡迎字符串來檢測(cè)它，這個(gè)字符串會(huì)在工具運(yùn)行時(shí)顯示。因此，我用十六進(jìn)制個(gè)編輯器打開wce.exe，通過把大寫轉(zhuǎn)換為小寫，小寫轉(zhuǎn)換為大寫的方式改變其特征。如下所示：

在對(duì)二進(jìn)制文件作了上面的修改后，再次在virustotal.com上掃描，這次發(fā)現(xiàn)56個(gè)殺軟中有42個(gè)將其標(biāo)記為惡意軟件。

然而，這樣并不能繞過大多數(shù)殺毒軟件程序，如果我們能夠準(zhǔn)確定位出被哪些殺軟檢測(cè)的特征的話，我們就可以規(guī)避它們。

作為一個(gè)例子，下面是原始的wce程序，從內(nèi)存中提取口令。

原始wce.exe的輸出

在修改了二進(jìn)制文件后，功能沒有變化。它依然可以從內(nèi)存中得到口令。如下圖。

修改后的wce.exe的輸出

Hyperion

加密二進(jìn)制也是一種常用的過殺軟的方法。加密器的原理就是混淆二進(jìn)制來對(duì)抗殺軟。當(dāng)二進(jìn)制文件運(yùn)行的時(shí)候加密的內(nèi)容會(huì)被還原。Kali Linux有一個(gè)開源的加密器，名為Hyperion，已經(jīng)可以下載使用。

我用的是從上面的鏈接處下載的工具。讓我們看看這個(gè)工具怎么用。

在我們使用Hyperion之前，首先讓我們?cè)趘irustotal.com上掃描wce.exe的32位版本。

正如我們看到的，有44個(gè)殺軟把它識(shí)別為惡意軟件。

讓我們用Hyperion加密這個(gè)文件，如下：

讓我們?cè)俅螔呙柽@個(gè)新生成的文件，看看檢測(cè)率。

如上圖所示，與未加密的文件相比，這個(gè)得到了更低的檢測(cè)率。

Veil-Evasion

Veil-Evasion是另外一個(gè)用python寫的流行的框架。我們可以用這個(gè)框架生成能夠規(guī)避大多數(shù)殺軟的載荷。

可以從其官網(wǎng)上下載到Veil-evasion。

首先，下載并安裝Veil-Evasion，然后運(yùn)行它，命令為：

“veil-evasion”

正如我們看到的，已經(jīng)加載了46個(gè)載荷。我們可以使用“use”命令選擇特定的載荷。

我選擇第31個(gè)，創(chuàng)建一個(gè)python/meterpreter/rev_tcp可執(zhí)行載荷。實(shí)際上，它創(chuàng)建了一個(gè)python腳本，然后會(huì)使用工具轉(zhuǎn)換為可執(zhí)行文件，比如：pyinstaller。

在上圖中，我們?cè)O(shè)置LHOST為192.168.56.101，輸入命令“generate”生成載荷。

接下來，它會(huì)讓我們輸入載荷的名稱，我將其命名為“backdoor”。如上面提及的，Veil會(huì)把python文件轉(zhuǎn)為exe，它詢問我們選擇什么工具來轉(zhuǎn)換。我個(gè)人而言，喜歡Pyinstaller，我輸入1選擇它。這兩步如下圖所示

一旦完成，它就會(huì)創(chuàng)建出最終的載荷，并顯示它的路徑，如下：

正如我們?cè)谏蠄D看到的，這個(gè)框架的作者不建議我們把樣本上傳到網(wǎng)上。因此，我在Avast殺軟的沙盒環(huán)境中測(cè)試這個(gè)載荷，沒有被檢測(cè)到。

這些載荷在目標(biāo)機(jī)上也會(huì)工作得很好。

下圖展示了使用上面創(chuàng)建的載荷獲取的一個(gè)meterpreter shell。

可以試試帶加密的其它載荷，效果會(huì)更好。

peCloak

peCloak是另外一個(gè)有趣的工具，我是從下面的鏈接處下載的。

peCloak.py – An Experiment in AV Evasion

這個(gè)腳本自動(dòng)采用多種技巧規(guī)避殺軟。作者為了自己使用開發(fā)了這個(gè)工具，之后公開發(fā)行了beta版。這個(gè)腳本可以啟發(fā)我們寫出自己的規(guī)避殺軟的腳本。

讓我們看看怎么用它

為此，我要用msfvenom創(chuàng)建一個(gè)meterpreter載荷。如下圖：

讓我們?cè)趘irustotal.com上掃描這個(gè)載荷“test.exe”，如下圖。

56個(gè)殺軟中有36個(gè)殺軟將其標(biāo)記為惡意軟件?，F(xiàn)在，讓我們執(zhí)行peCloadk.py腳本。我們以默認(rèn)的參數(shù)執(zhí)行這個(gè)腳本，如下：

它創(chuàng)建了一個(gè)名為“cloaked.exe”的文件，如上圖所示。

讓我們掃描這個(gè)新載荷，看看有多少殺毒軟件引擎將其識(shí)別為惡意軟件。

56個(gè)中只有26個(gè)將其識(shí)別為惡意軟件。

結(jié)論

除了這篇文章中提到的工具外，還有很多其它的工具，比如Metasploit的編碼器。寫一個(gè)定制的能規(guī)避殺軟檢測(cè)的載荷比使用流行的框架創(chuàng)建載荷要好。注意：在你閱讀這篇文章的時(shí)候，這篇文章中顯示的結(jié)果可能有所變化，因?yàn)闅④浀奶卣饕苍诓粩嗟馗隆?/p>
當(dāng)前名稱：那些年，我們用來“躲避”殺毒軟件的工具
文章網(wǎng)址：http://fisionsoft.com.cn/article/cddidcc.html

新聞中心

其他資訊