前言

在一样平常的渗透测试中,我们直接将metaspolit、CS等工具直接天生的恶意程序或代码发送到目的系统时,通常会遇防病毒和入侵检测系统的查杀。这使得我们的程序被阻挡或者运行不稳固。有时刻IP还会直接被封杀,增添了我们的攻击难度,这篇文章中,将为人人分享一些自己免杀的学习方式论,一些常用的AV和IDS规避手艺,可以用于绕过一些平安软件。

编码器

通过一定纪律的编码算法,将对metaspolit、CS天生的shellcode举行编码/模糊处置/变形,从原始shellcode中删除所有无效的字符,从而逃避杀毒软件检测。
编码算法
可以使用多种算法对Shellcode举行编码,包罗(但不限于):

1、在特定位置添加垃圾字节
2、使用硬编码的单字节密钥对字节举行XOR或者加减法运算
3、将字节移位某些特定位置
4、交流延续字节

或以任何一种或多种手艺的复合。

第一种编码

先来一个简朴的编码方式,我选择了一个名为加法和减法(ADD,SUB)这是最早的一种加密方式。

77+eb=162 是n = 77是我们加密的密码,原始字节中的的每个字符都与77相加。关于这个加密数,我们需要找从(0-255)个字节中找出一个与代码相加都不是坏字符的数,来作为我们的加密密码。这就需要我们自己去循坏盘算,这里不写详细的编成实现代码。

选择它的缘故原由很简朴:
这个很容易实现,而且所有初学者都容易明白。最后,我们把解码器放在shellcode之前,每个字都将与指定的字节举行减法运算,最后获得我们的原始的code

第二个编码

在来一个相对庞大一些的,接纳多种算法的复合编码。
1、举行NOT操作
2、ADD通过为0x1字节
3、在(0-255)中找一个随机字节,将字节与随机字节举行XOR,并在shellcode默认添加该字节,作为竣事符号符
4、在这些字节之间插入随机字节

编写自动化编码工具

构建解码器

第一种方式来写解码器

解码器的内容很简朴,解码器的下方是我们的加密后的代码。每次拿出一个字节与77字节相减,将盘算效果存入ESI寄存器。

global _start

section .text
_start:
        jmp short call_decoder

        decoder:
        pop esi

        decoder_loop:
        ;在我们shellcode的末尾,同样放置加密字符,当解码到文件末尾的时刻,可以直接跳转到shellcode地方执行
        sub byte[esi],77;
        jz shellcode
        inc esi
        jmp short decoder_loop

        call_decoder:
        call decoder

第二中解码方式

首先,我们需要将解码的shellcode放在某个地方,我们使用JMP指令跳转到执行解码器函数的地方,最后使用POP ESI将shellcode地址放在ESI寄存器中央。我们首先要做的就是删除shellcode每个字节中央的随机字节。先来看一下shellcode的纪律

,

USDT跑分网

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,
A   r   B   r   C   r   D   r   E   r   F   r   G   e
ESI    ESI+2  ESI+4 
EDI EDI+1

ESI寄存器每次加2就是shellcode的位置
EDI加1就是运算后存放的位置

自动化编码历程

首先加密字节应该注重的是,加密字节和加密后的字节都不应该包罗坏字符。不是每个字节都手动与指定字节举行运算的。然后处置未编码的shellcode中的每个字节-我确立了一个小的Python剧本,可以帮自动完成这些盘算。
在选择加密字节的时刻,我们是从0-255中随机便利选择的,这意味着两次对相同的code举行编码可能不会两次发生相同的输出。

测试编码器

我们使用编写器对code举行编码获得

代码

\xeb\x09\x5e\x80\x2e\x9e\x74\x08\x46\xeb\xf8\xe8\xf2\xff\xff\xff\xdf\xe0\xe1\xe2\x9e

通过ollydbg举行调试,code被乐成解码

通过msf天生一个一段shellcode,我们对shellcode举行编码加密

使用自动化剧本对shellcode举行加密

检查功效效果

最后通过virScan扫描看一下效果,海内杀软都可以过。

全程录制了个视频,直接上视频来看看这方方式的免杀效果吧。
https://video.kuaishou.com/short-video/3xr4v2423yz48jq
这里只说实现方式,代码准备做以整套的,暂时不宣布,有需要的同砚,可以联系我

IPFS官网

IPFS官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:足球免费贴士(zq68.vip):免杀入门混淆加密方式剖析,看这一篇就够了。
发布评论

分享到:

filecoin矿机(www.ipfs8.vip):金融数据综合应用试点观察:银行行使区块链解决“数据确权”难题
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。