木马免杀（篇三）静态免杀方法-CSDN博客

紧接上一篇是通过 cs 生成 shellcode 并直接用python 调用动态链接库执行 shellcode 。

生成后的exe文件未进行任何处理。

现在学习一些可以绕过静态免杀的方法。即将文件上传到目标不会被杀软查杀但这只是静态方面。

动态免杀方面还涉及到很多东西像进程注入手段。

使用加花器

花指令junk code垃圾代码

加花对抗反汇编引擎。在真实代码中插入一些垃圾代码不影响程序逻辑保证原有程序的正确执行而程序无法很好地反编译难以理解程序内容, 达到混淆视听的效果.。

杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置。杀毒软件就找不到病毒了。

网上的花指令因为是公布出来的可能免杀周期不长公布出来不久就会被杀毒软件查杀但是只要简简单单的修改一两句就可以达到免杀了。

工具

牧马游民超级加花器

怒剑狂花加花器

加花之后显示这么大。

单独加花过了360

文件捆绑器

用文件捆绑器可以把木马和正常文件捆绑

传统捆绑器。 将B.exe附加到A.exe的末尾。这样当A.exe被执行的时候B.exe也跟着执行了。

超级文件捆绑器版本很老了捆绑之后会被查杀

其他捆绑工具参考

红队技术-免杀木马捆绑器分享-腾讯云开发者社区-腾讯云

————————

加壳

几个加壳工具

DRMsoft EncryptEXE 、EXECryptor、VProject

upx加壳

加壳后文件变小了一点

只加upx壳后过360

————————

加数字签名

给exe文件添加信任的数字签名杀毒软件是不会拦截的。而要买数字签名太贵可以利⽤dll劫持把有数字签名的文件劫持了利用白加黑文件的形式就可以轻松的利用别人的数字签名软件运行我们的木马。

工具Sign-Stacker

Sign-Sacker(签名掠夺者)一款数字签名复制器可将其他官方exe中数字签名复制到没有签名的exe中。

下载 https://github.com/langsasec/Sign-Sacker

在属性中将有一项数字签名

单独加这个签名 360 就不杀了。

dll 劫持

dll是动态链接库。执行某个程序时相应dll 文件会被调用。可以理解为dll中有程序需要使用到的代码函数。

一个应用程序可使用多个DLL文件一个DLL文件也可能被不同的应用程序使用这样的DLL文件被称为共享DLL文件。

劫持有数字签名的文件。利用有数字签名的软件执行我们的木马

先生成免杀dll

注入到指定exe文件生成一个新的exe文件原exe文件会进行备份

将生成的dll和exe文件放到原exe文件的路径下点击被劫持的exe文件生成的新exe文件我们的shellcode dll 也会被运行

————————

也有直接将dll注入到进程的

在一个进程中创建线程注入shellcode

文章参考新人开源一个自己开发的DLL注入和汇编注入器(简单的讲解) - 『原创发布区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

win10最强DLL注入远程线程注入、消息钩子注入、输入法注入、EIP注入、注册表注入、APC注入APC好像不能用_输入法注入器-CSDN博客

将木马注入到其他程序要选择什么样的白名单程序。

选择的白名单程序可以是有 Microsoft 签名的二进制文件可以是第三方认证签名程序对渗透方有用的功能有特别功能可执行恶意代码绕过uac 等。

比如 rundll32.exe、msiexec.exe 等