search
黑客協會:木馬免殺由你來主宰

黑客協會:木馬免殺由你來主宰

免殺的終極目標是實現 「FUD」, FUD是地下網路黑話,代表軟體不被殺毒檢測殺死。

應該說每一類型的惡意軟體所實施的反檢測技術都是不一樣的(惡意軟體可以分為病毒、木馬、殭屍程序、流氓軟體、勒索軟體、廣告程序等),雖然本文會對所有相關的反檢測技術都進行介紹,但我們還是會將注意力放在stager階段的meterpreter這種有效載荷的工具上,因為幾乎所有的惡意軟體的攻擊命令的執行都必須依靠 meterpreter來實施攻擊。

例如: 提權、憑證竊取、進程遷移、註冊表操作和分配更多的後續攻擊, 另外,MetasploitFramework是一個緩衝區溢出測試使用的輔助工具,也可以說是一個漏洞利用和測試平台,它集成了各種平台上常見的溢出漏洞和流行的shellcode,並且不斷更新,使得緩衝區溢出測試變的方便和簡單。

一款木馬,如何才能防止被殺毒軟體查殺呢?答案就是——免殺!自從木馬誕生的那一天起,被殺與免殺的較量就從來沒有停止過,正所謂是"道高一尺、魔高一丈",在殺毒軟體技術更新的同時,木馬的免殺技術也在不斷的前進著。

關於術馬免殺的方法是五花八門:修改特徵碼、加殼、加花、數字簽名等等。一般來說,我們使用比較多的還是加殼,這種方法簡單方便,免殺效果也不錯。

靜態免殺、動態免殺和啟髮式免殺三種方法來實現「FUD」,但不管是哪種實現的技術,其中的一個關鍵點就是惡意軟體的大小一定要足夠小。

不建議沒有基礎的小夥伴們自己來操作免殺,一般的測試著玩的話,你下載幾個比較老款的殺毒軟體,然後用自己做的免殺一步步的測試,最新的免殺基本上難度是很大的,新手們玩不轉,地下黑市上賣的最新款免殺都是有很多人買,有些殺毒軟體的病毒庫天天更新,所以免殺也天天得更新。

加殼檢測:

惡意軟體一般都會被壓縮加殼,因為加殼會將可執行文件進行壓縮打包, 並將壓縮數據與解壓縮代碼組合成單個可執行文件的一種手段。 當執行被壓縮過的可執行文件時,解壓縮代碼會在執行之前從壓縮數據中重新創建原始代碼。所以檢測惡意軟體是否使用了加殼技術,也是發現的一種重要手段。

加密檢測:

惡意軟體使用加密對其二進位程序進行加密,以免被逆向分析。加密存在於惡意軟體的構建器和存根中,當惡意軟體需要解密時,不會用惡意代碼常用的正常方法執行它。為了隱藏進程,惡意軟體使用了一個有名的RunPE的技術,代碼會以掛起的方式執行一個乾淨的進程(比如iexplorer.exe或者explorer.exe),然後把內存內容修改成惡意代碼后再執行。所以檢測RunPE的運行,就可以很容易的檢測到惡意軟體了。

最後再來了解一點黑客術語

免殺殺毒軟體通過特異性受體識別抗原,進行殺毒,給病毒包上一層人畜無害的蛋白質外殼來麻痹殺毒軟體,起到免殺的作用

爆破扔成噸的垃圾砸死你

抓雞肉雞,你可以理解為忽悠國小生聽你使喚

抓包比如你用人臉識別來驗證,那我就那你的照片冒充你;你用聲音識別,我就把你聲音錄下來

學習黑客的第一本書 網路黑白 某寶有

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23295次喜歡
留言回覆
回覆
精彩推薦