黑客协会:木马免杀由你来主宰

免杀的终极目标是实现“FUD”,FUD是地下网络黑话,代表软件不被杀毒检测杀死。技术都进行介绍,但我们还是会将注意力放在stager阶段的met

免杀的终极目标是实现 “FUD”, FUD是地下网络黑话,代表软件不被杀毒检测杀死。

应该说每一类型的恶意软件所实施的反检测技术都是不一样的(恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等),虽然本文会对所有相关的反检测技术都进行介绍,但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上,因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击。

例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击, 另外,MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。

黑客协会:木马免杀由你来主宰

一款木马,如何才能防止被杀毒软件查杀呢?答案就是——免杀!自从木马诞生的那一天起,被杀与免杀的较量就从来没有停止过,正所谓是”道高一尺、魔高一丈”,在杀毒软件技术更新的同时,木马的免杀技术也在不断的前进着。

关于术马免杀的方法是五花八门:修改特征码、加壳、加花、数字签名等等。一般来说,我们使用比较多的还是加壳,这种方法简单方便,免杀效果也不错。

静态免杀、动态免杀和启发式免杀三种方法来实现“FUD”,但不管是哪种实现的技术,其中的一个关键点就是恶意软件的大小一定要足够小。

不建议没有基础的小伙伴们自己来操作免杀,一般的测试着玩的话,你下载几个比较老款的杀毒软件,然后用自己做的免杀一步步的测试,最新的免杀基本上难度是很大的,新手们玩不转,地下黑市上卖的最新款免杀都是有很多人买,有些杀毒软件的病毒库天天更新,所以免杀也天天得更新。

黑客协会:木马免杀由你来主宰

加壳检测:

恶意软件一般都会被压缩加壳,因为加壳会将可执行文件进行压缩打包, 并将压缩数据与解压缩代码组合成单个可执行文件的一种手段。 当执行被压缩过的可执行文件时,解压缩代码会在执行之前从压缩数据中重新创建原始代码。所以检测恶意软件是否使用了加壳技术,也是发现的一种重要手段。

加密检测:

恶意软件使用加密对其二进制程序进行加密,以免被逆向分析。加密存在于恶意软件的构建器和存根中,当恶意软件需要解密时,不会用恶意代码常用的正常方法执行它。为了隐藏进程,恶意软件使用了一个有名的RunPE的技术,代码会以挂起的方式执行一个干净的进程(比如iexplorer.exe或者explorer.exe),然后把内存内容修改成恶意代码后再执行。所以检测RunPE的运行,就可以很容易的检测到恶意软件了。

最后再来了解一点黑客术语

免杀

杀毒软件通过特异性受体识别抗原,进行杀毒,给病毒包上一层人畜无害的蛋白质外壳来麻痹杀毒软件,起到免杀的作用

爆破

扔成吨的垃圾砸死你

抓鸡

肉鸡,你可以理解为忽悠小学生听你使唤

抓包

比如你用人脸识别来验证,那我就那你的照片冒充你;你用声音识别,我就把你声音录下来

学习黑客的第一本书 网络黑白 某宝有

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/10280.html

(0)
上一篇 2023年 4月 22日 下午11:57
下一篇 2023年 4月 22日 下午11:57

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信