声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担
前言
之前做靶机的时候发现有安全卫士,怎么都突破不了,意识到了免杀的重要性,花点时间来学习一下免杀的技巧,本文分别对exe文件和ps1文件进行免杀测试,所涉及的工具均已打包,私信获取
免杀介绍
免杀有很多种方式
1、源码免杀。在有源码的情况下,可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等,这部分内容较多略复杂
2、无源码免杀。在源码不好修改需要对exe进行免杀时,可以加资源、替换资源、加壳、加签名、PE优化、增加节数据等等。本文中的方法1就是这种方式,只不过算是最简单的一种。
3、powershell免杀。因为mimikatz有powershell版或者使用powershell可以加载,所以对powershell的脚本免杀也是一种方式,本文中的方法2-方法6都是对powershell进行处理。
4、加载器分离免杀。加载器就是利用了ShellCode和PE分离的方式来达到免杀的效果,不过很多只能加载基于RAW格式或固定格式的shellcode,对exe程序就无能无力了
5、白名单免杀。白名单主要是使用了rundll32、msbuild、mshta、cscript等多个白名单程序来加载嵌入了木马的jscript脚本
EXE文件免杀
首先来看看原生态的cs生成的exe后门木马吧
火绒一放进去就报毒了,360运行之后也报毒了
VirusTotal - Home原生木马的查杀率为48/68
加壳+签名
需要的软件
VMProtect Ultimate 3.4.0加壳软件、签名脚本sigthief.py
安装vmp加壳软件后,使⽤vmp进⾏加壳
cs的后门和msf的后门都试了一下,不知道为什么VMP这个工具不能对msf的后门加壳
加壳之后试了一下,火绒过了,360还是报毒了
使⽤ sigthief.py 对上⼀步⽣成的exe⽂件进⾏签名。sigthief的详细⽤法可以参考 https://github.com/secretsquirrel/SigThief(要以管理员权限运行)
python sigthief.py -i 360safe.exe -t artifact.vmp.exe -o artifact.exe