木马免杀(篇三)静态免杀方法

这篇具有很好参考价值的文章主要介绍了木马免杀(篇三)静态免杀方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

紧接上一篇,是通过 cs 生成 shellcode 并直接用python 调用动态链接库执行 shellcode 。

生成后的exe文件未进行任何处理。

现在学习一些可以绕过静态免杀的方法。即将文件上传到目标不会被杀软查杀,但这只是静态方面。

动态免杀方面还涉及到很多东西,像进程注入手段。

使用加花器

花指令(junk code,垃圾代码)

加花,对抗反汇编引擎。在真实代码中插入一些垃圾代码,不影响程序逻辑,保证原有程序的正确执行,而程序无法很好地反编译,难以理解程序内容, 达到混淆视听的效果.。

杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置。杀毒软件就找不到病毒了。

网上的花指令因为是公布出来的,可能免杀周期不长,公布出来不久就会被杀毒软件查杀,但是只要简简单单的修改一两句就可以达到免杀了。

工具

牧马游民超级加花器

怒剑狂花加花器

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

加花之后显示这么大。

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

单独加花过了360

文件捆绑器

用文件捆绑器可以把木马和正常文件捆绑

传统捆绑器。 将B.exe附加到A.exe的末尾。这样当A.exe被执行的时候,B.exe也跟着执行了。

超级文件捆绑器版本很老了,捆绑之后会被查杀

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

其他捆绑工具参考:

红队技术-免杀木马捆绑器分享-腾讯云开发者社区-腾讯云

————————

加壳

几个加壳工具:

DRMsoft EncryptEXE 、EXECryptor、VProject

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

upx加壳

加壳后文件变小了一点

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

只加upx壳后过360

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

————————

加数字签名

给exe文件添加信任的数字签名,杀毒软件是不会拦截的。而要买数字签名太贵,可以利⽤dll劫持,把有数字签名的文件劫持了,利用白加黑文件的形式就可以轻松的利用别人的数字签名软件运行我们的木马。

工具:Sign-Stacker

Sign-Sacker(签名掠夺者):一款数字签名复制器,可将其他官方exe中数字签名复制到没有签名的exe中。

下载: https://github.com/langsasec/Sign-Sacker

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

在属性中将有一项数字签名

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

单独加这个签名 360 就不杀了。

dll 劫持

dll是动态链接库。执行某个程序时,相应dll 文件会被调用。可以理解为dll中有程序需要使用到的代码函数。

一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。

劫持有数字签名的文件。利用有数字签名的软件执行我们的木马

先生成免杀dll

注入到指定exe文件,生成一个新的exe文件,原exe文件会进行备份

将生成的dll和exe文件放到原exe文件的路径下,点击被劫持的exe文件(生成的新exe文件),我们的shellcode dll 也会被运行

————————

也有直接将dll注入到进程的

在一个进程中创建线程,注入shellcode

文章参考:新人开源一个自己开发的DLL注入和汇编注入器(简单的讲解) - 『原创发布区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

win10最强DLL注入,远程线程注入、消息钩子注入、输入法注入、EIP注入、注册表注入、APC注入(APC好像不能用)_输入法注入器-CSDN博客

木马免杀(篇三)静态免杀方法,免杀专题,木马,免杀,静态,加壳

将木马注入到其他程序,要选择什么样的白名单程序。

选择的白名单程序,可以是有 Microsoft 签名的二进制文件,可以是第三方认证签名程序,对渗透方有用的功能,有特别功能可执行恶意代码绕过uac 等。

比如 rundll32.exe、msiexec.exe 等文章来源地址https://www.toymoban.com/news/detail-734352.html

到了这里,关于木马免杀(篇三)静态免杀方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 免杀方法(一)mimikazta

    Mimikazta是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取 明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文 密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大, 我们可以通过github上的开源代码对其进行源码免杀从而by

    2024年02月06日
    浏览(35)
  • (2.1)【经典木马-冰河木马】详细介绍,原理、使用方法

    目录 一、简介: 1.1、简述: 1.2、历史: 1.3、功能: 1.4、清除方法: 1.5、程序实现: 二、冰河木马使用 2.1、第一步:准备好冰河木马 2.2、第二步:配置好目标主机 2.3、第三步:配置好服务端 2.4、第四步:g_sever被运行 2.5、第五步:使用客户端进行连接 木马冰河是用C++B

    2024年02月08日
    浏览(48)
  • Linux(实操篇三)

    1.7 搜索查找类 1.7.1 find查找文件或目录 find 指令将 从指定目录向下递归地遍历其各个子目录 ,将满足条件的文件显示在终端。 基本语法 find [搜索范围] [选项] 选项说明 -name查询方式 按照指定的文件名查找模式查找文件 -user用户名 查找属于指定用户名所有文件 -size文件大小

    2024年02月10日
    浏览(40)
  • postman的快捷功能【效率篇三】

    查询参数在上面已经介绍过,在这里只说明 Postman 填写查询参数的地方,也就是Params。 有时候,要填写的参数会比较多,且每个参数都是按照 key-value 形式进行填写,而这样填写起来,费时费力。那是否有更加省事的填写方式? 作为绝大部分请求,都是可以通过浏览器或抓包

    2024年02月16日
    浏览(24)
  • 数据结构篇三:双向循环链表

      前面我们学习了单链表的实现,我们发现它在进行从后往前查找的时候有很大的不便,为了解决这个问题,双向链表油然而生。它可以很好的解决单链表无法从后往前查找的困难。   如图所示,它是有两个指针域,一个指向后一个结点,一个指向前一个结点。它存储了

    2024年02月02日
    浏览(37)
  • Android逆向解析加壳与脱壳技术

    加壳是指在 APK 文件中插入额外的代码或数据,使得原始代码难以被分析和反编译。通常加壳是为了保护软件的知识产权或者防止逆向工程。下面是 Android 加壳的一般流程: 选择加壳工具:选择合适的加壳工具进行加壳,比如市面上常用的加壳工具有 DexProtector、Bangcle等。 修

    2024年02月09日
    浏览(55)
  • 逆向分析 工具、加壳、安全防护篇

    软件安全是信息安全领域的重要内容,设计到软件相关的加密、解密、逆向分析、漏洞分析、安全编程以及病毒分析等。 哈喽,大家好,我是《有勇气的牛排》(全网同名)🐮🐮🐮 有问题的小伙伴欢迎在文末/评论,点赞、收藏/是对我最大的支持!!!。 1.1 加壳 加壳(可

    2024年02月02日
    浏览(41)
  • 探究——C# .net 代码混淆/加壳

    保密。 先查询一下常见的加壳工具: DotFuscator,官方自带,据说免费版混淆程度不高 ConfuserEx,只支持.NET Framework 2.0/3.0/3.5/4.0/4.5/4.6/4.7/4.8,不支持.NET Core Virbox Protector,很好很优秀,但是收费 NET Reactor, 最新6.9版收费,PJ版到4.9不支持.NET Core Obfuscar,开源,可以用dotnet tool或

    2024年02月08日
    浏览(50)
  • windows加壳程序WinLicense与Themida

    开了Procmon.exe之后启动游戏会弹出这个框,这个是程序加壳之后的反外挂,反调试提示框。 WinLicense A monitor program has been found running in your system.Please, unload it from memory and restart your program![image-20230901154445402](https://img2023.cnblogs.com/blog/363476/202309/363476-20230902195253332-749228720.png) https

    2024年02月10日
    浏览(30)
  • 查壳去壳和加壳的使用指南

    介绍下加壳、脱壳以及如何病毒免杀技术与原理 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程

    2024年02月05日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包