主页 > 网络知识 > 远控免杀从入门到实践(一):基础篇

远控免杀从入门到实践(一):基础篇

1、文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

2、文中提到的杀软检测指标是 virustotal.com(简称VT)上在线查杀结果,所以只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀工具的判断指标。

《远控免杀从入门到实践》系列文章目录:

1、远控免杀从入门到实践(1)-基础篇

2、远控免杀从入门到实践(2)-工具总结篇

3、远控免杀从入门到实践(3)-代码篇-C/C++

4、远控免杀从入门到实践(4)-代码篇-C#

5、远控免杀从入门到实践(5)-代码篇-Python

6、远控免杀从入门到实践(6)-代码篇-Powershell

7、远控免杀从入门到实践(7)-代码篇-Golang+Ruby

8、远控免杀从入门到实践(8)-白名单总结篇

9、远控免杀从入门到实践(9)-深入免杀(暂定)

10、远控免杀从入门到实践(10)-自研工具篇(暂定)

一、前言

一直从事web安全多一些,对waf绕过还稍微有些研究,但是对远控免杀的认知还大约停留在ASPack、UPX加壳、特征码定位及修改免杀的年代。近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。

但web狗一般对逆向和二进制都不大熟,编译运行别人的代码都比较费劲,这时候就只能靠现成的工具来曲线救国了。为此,我从互联网上搜集了大约20款知名度比较高的免杀工具研究免杀原理及免杀效果测试,后面还学习了一下各种语言编译加载shellcode的各种姿势,又补充了一些白名单加载payload的常见利用,于是就有了这一个远控免杀的系列文章。

1、工具篇内容:msf自免杀、Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload等。

2、代码篇内容:C/C++、C#、python、powershell、ruby、go等。

3、白名单内容:MsBuild、Msiexec、mshta、InstallUtil、rundll32、Regsvr 32、Cmstp、Wmic、CSC、Regasm、Regsvcs、Control、Msxsl、Odbcconf、Compiler等。

已完成的免杀文章及相关软件下载:https://github.com/TideSec/BypassAntiVirus ,对免杀感兴趣的小伙伴可以微信关注”Tide安全团队”公众号或与我联系。

第一篇基础篇内容比较水,主要介绍了一下杀毒软件工作原理和免杀原理,并在后面简单介绍了Metasploit自带的一些基础的免杀方式(8种方式),大佬勿喷。部分内容参考互联网资料,感谢各位前辈大佬的无私分享。

在免杀方面任晓辉编著了一本非常专业的书《黑客免杀攻防》,感兴趣的可以看一下。

二、免杀概念

免杀,wiki百科上介绍:也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。

三、杀毒软件检测方式 3.1 杀软常见扫描方式

1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。

2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。

3、修复技术:即是对恶意程序所损坏的文件进行还原

4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。

5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。

6、全盘扫描:扫描电脑全部磁盘,耗时较长。

7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。

8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序

3.2 监控技术

1、内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。

2、文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。

3、邮件监控:当发现电子邮件的附件存在病毒时进行拦截。

4、网页防护:阻止网络攻击和不安全下载。

5、行为防护:提醒用户可疑的应用程序行为。

四、扫描引擎 4.1 特征码扫描
说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!