大家好,我是一个在IT行业十余年的小菜鸟,今天与大家讲一讲不一样的免杀。
一 常见的免杀。
shellcode混淆,汇编花指令,使用常见的xor,AES等加密,这种方式不能说一定无法免杀,但是如果使用cs,msf等特征明显的shellcode,要做到免杀应该是一件很难的事情,而下面的免杀这些方法也许会让你焕然一新。
二 进阶免杀。
1.使用自定义的加解密。
shellcode无非就是一串二进制数组,你可以把它当成int数组,进行自定义的加减乘除之后,将生成的shellcode传入并进行相对应的操作还原执行,这样并不会触发免杀的报警机制,也就是大家常说的,生成exe的熵值并不会因为自定义加解密而增加。
2.使用不同的语言进行免杀。
在做免杀的过程中,也许大家会发现,c#。c++,python等语言,在做免杀时有不同的优势。
比如针对360,赛门铁克,defender,卡巴等软件,使用python和ruby进行同样的操作时,也许并不会被杀,而用c++就会,这是因为解释器·的不同,甚至有一段时间,使用python32位解释器,国外上面常见的杀软对这些病毒程序完全无动于衷。
而在做持久化时,你会发现java,有得天独厚的优势,因为他使用自身的jvm,所以很多操作并不会被杀软拦截,当然java的缺点也明显,编译后需要配套的jdk,也就意味着通常需要60M以上的空间,文件较大。
3.反汇编更改。
当我们将程序编译好之后,以python为列,我们可以将exe反汇编,并将其中的变量进行修改,使它不符合python的语法,修改之后你会发现,在windows系统中可以正常解析运行,而本来会被查杀的程序,却并没有被拦截,这是因为杀软内部是使用的沙盒处理,会解析异常,导致无法分析,也就不会报毒。
4.白加黑。
白加黑其实是很常见的一种免杀手段,都属于我眼中的中级手段,所以放在了这里,我觉得这个应该都明白,不用我细说了。
5.加载器
加载器有分为普通加载器和高级加载器。
普通的加载器比如申请动态内存,汇编加载等。这种对免杀提供的帮助并不大。
高级加载器,比如管道连接,syscall调用等,这些仅需要简单的处理就有可能绕过杀软的检查。
6.特征免杀
有时候我们程序被查杀仅仅只是因为某个函数被针对,比如VirtualProtect等相关函数,其实已经列入了杀软的黑名单,这时候我们需要对函数进行动态加载,就可以绕过杀软的检测机制。
三 超进阶免杀。
1.windows虚拟化。
在免杀的过程中,我们发现,无论使用什么语言开发,所有操作都依赖于windows系统,有没有什么办法能完全超脱,于是虚拟化技术就此排上用场,windows虚拟化技术,简单点说,就是在windows系统中安装一个简化版的系统,是这个简化版的新系统和我们的服务端进行通讯。而所有和被控机器的通讯,就是先通过服务端,向简化版的新系统通讯(虚拟系统),再通过简化版的新系统,以内网横向的方式操作被控机器。
所有对外的操作由于是在虚拟系统中进行操作,所以并不会被监控。
但该方法由于新开发的虚拟系统bug太多,(目标锁屏,虚拟机会断网等)最后暂时搁置了。
2.驱动
驱动免杀,也是现在用的最多的方式,由于很难弄到有效的驱动签名,所以我们使用过期签名。并通过白加黑,内存加载等手段,加载我们的驱动,然后修改windows硬编码,可以做到两种。
一种是使对面的杀软免杀能力完全无效,这样所有操作都是正常行为,也就是相当于卸载杀软。
第二种是进行转发,让他们的驱动,请求我们的驱动而不是系统驱动,在我们的驱动对指定的·程序进行过滤,从而实现部分程序,或者部分目录不检测,也就是类似于白名单效果。相当于在杀软旁边装了个杀软。
四 免杀总结。
系统里面装系统,杀软旁边装杀软,逃避不是最好的解决方案,最完美的防守,其实是进攻。
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022