KaliLinux——shellcode-payload分离免杀
反病毒安全软件 anti-virus security software
三种特点
- 基于特征
- 基于行为
- 基于云查杀 -特征查杀
都是特别针对PE头文件的查杀
当payload文件越大的时候,特征越容易查杀
反制查杀机制 (概括)
-
采取特征与行为分离免杀
避免 PE头文件,并且分离行为,与特征的综合免杀 -
适用于菜刀下等场景
-
基于 windows下 更稳定 手法——载入内存
kali Linux演示
-
0x00: 监听端口
-
0x001:这里的payload不采取生成pe文件,
而采取shellcode方式,来借助第三方直接加载到内存中——避免行为
-
0x002: shellcode方式的payload, 借助第三方来启动——加载到内存。
执行shellcode,自己写也不是很难 ( 建议大家自己写shellcode执行盒,相关代码网上非常成熟。) -
借用一个github一个开源:点击查看
免杀环境——源码免杀之C++编译
源码免杀C++基础
- 都一样 正常安装就行
- 有的是这个版本
- 这三个解压到 覆盖
- 因为之前安装过了 就看下路径吧
- 最后 提一下Assist 安装需要 进入那个vc98 目录去 安装破解
- 如果缺dll 那就下一个加载就ok
源码免杀C++基础
源码免杀C++基础
QQ 1285575001
Wechat M010527
技术交流 QQ群599020441
纪年科技aming
#1 花指令 + pass 高启发语句
#2 字符串隐藏
- 利用工具
#3 动态调用
- API 转到定义
- 动态调用 在原API 前,并且 改变原API位置函数
不要依赖软件 能手动写就自己手动改
****** 那软件有bug — 自动选择dll
源码免杀实战
源码免杀实战
QQ 1285575001
Wechat M010527
技术交流 QQ群599020441
纪年科技aming
#1 看一下今天的马子
-
Gh0st 改良版
-
开始搞事
- 免杀原理
病毒样本 内存地址/段 分析师定位
-
原始特征码
01-----> a
02-----> b
03-----> c (异常/病毒)
04-----> d
05-----> e
01-----> a
02-----> b0201 ----->b1 (新加入)
03-----> c (异常/病毒)
04-----> d
05-----> e-
高启发 杀软分析模块–虚拟引擎 二进制判断
eg:云引擎 小红伞
行为:
写入重启启动项 (注册表)
进行联网操作
存在攻击代码
异常字符串
-
加入误导代码 引导检测程序 走进误区 绕过判断
·0004000
·操作写一个干扰加法判断
- 杀软定位字符串
· nop填充 无效
源码免杀初探
源码免杀
特征码免杀(淘汰)
- 特征码免杀定位(受干扰)
- 360云引擎(环境变杀)
- 断网 防上传 本地—> 联网(加体积-防干扰、上传) ——>云
- 特征码特别多 用PE软件dump下 有效减少特征查杀
- 定位小马 PE优化 (定位小马区段清零/随机再查杀)保护无特征码
- 小红伞 杀资源/启发式
加壳免杀(运气)
- PE优化
- 构造加花
- 加生僻壳(或者自己写一个)
源码免杀(高效)
- 构造几行代码 过N杀软
