網(wǎng)絡(luò)安全與滲透測(cè)試工程師演示：白帽黑客如何生成木馬后門并實(shí)現(xiàn)免殺實(shí)戰(zhàn)

時(shí)間：2023-07-04 06:54:01 | 來源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-07-04 06:54:01 來源：網(wǎng)站運(yùn)營(yíng)

網(wǎng)絡(luò)安全與滲透測(cè)試工程師演示：白帽黑客如何生成木馬后門并實(shí)現(xiàn)免殺實(shí)戰(zhàn)：




1.背景介紹

msfvenom是msfpayload和msfencode的結(jié)合體，可利用msfvenom生成木馬程序,并在目標(biāo)機(jī)上執(zhí)行,在本地監(jiān)聽上線，在黑客圈子，這款工具略有名氣。

本次教程是Msfvenom木馬生成技巧篇的最后一個(gè)教程了，本系列教程就此完結(jié)，大家且看且珍惜，不過我們后續(xù)還會(huì)出新系列的教程，敬請(qǐng)期待！這次教程的主題是利用msfvenom生成木馬并實(shí)現(xiàn)免殺實(shí)戰(zhàn)。




2.準(zhǔn)備工作

2.1 一個(gè)安裝好kali linux系統(tǒng)的虛擬機(jī)


2.2 一給安裝好windows系統(tǒng)的物理機(jī)


2.3 整裝待發(fā)的小白一個(gè)





3.免殺實(shí)戰(zhàn)步驟


3.0 前言


之前我們的教程有講過一些簡(jiǎn)單的免殺技巧，但并沒有深入，免殺是一門非常深的學(xué)問，因?yàn)槊鈿⒌谋举|(zhì)是和網(wǎng)絡(luò)安全專家斗智，單獨(dú)將其拿出來講，可以不停的講下去了，因?yàn)榘踩藛T會(huì)不斷升級(jí)防護(hù)系統(tǒng)，而你若想讓木馬后門能夠持久的實(shí)現(xiàn)免殺，就必須與時(shí)俱進(jìn)，琢磨安全軟件防護(hù)系統(tǒng)的漏洞，加以利用，創(chuàng)新免殺的方法。總的來說，這門技術(shù)就是人與人之間的博弈。


3.1生成綁定正常軟件的免殺木馬


首先我們?cè)诎俣壬舷螺d一個(gè)正常的軟件，我們就下載一個(gè)普通的計(jì)算器calc.exe和木馬綁定在一起，這樣可以大大減少用戶的疑慮，覺得這只是個(gè)簡(jiǎn)單又普通的計(jì)算器，從而提高我們木馬攻擊的成功率。


生成木馬的命令如下圖所示，我們生成的木馬是針對(duì)windows操作系統(tǒng)，x86架構(gòu)的木馬，木馬使用的免殺編碼模塊是x86/shikata_ga_nai，這個(gè)編碼模塊的評(píng)價(jià)是極好的，所以我們使用它來做免殺，成功免殺的幾率比較高，編碼次數(shù)為五次，五次不多不少，編碼次數(shù)適當(dāng)也同樣可以提高木馬實(shí)現(xiàn)免殺的可能性。








木馬生成之后，我們打開kali系統(tǒng)的主文件夾，找到它并將其拖拽到windows操作系統(tǒng)的物理機(jī)桌面上。







3.2測(cè)試是否成功實(shí)現(xiàn)免殺

下面我們就用國(guó)內(nèi)比較常用的殺毒軟件奇虎360來測(cè)試一下剛剛生成的木馬后門是否能夠成功實(shí)現(xiàn)免殺，眾所周知，360這款殺毒軟件是比較好的，它的研發(fā)公司也是匯聚了眾多的安全領(lǐng)域的精英，所以我們的木馬如果能夠通過360的查殺，那就證明木馬后門的免殺是做得不錯(cuò)的。


我們打開360，再雙擊執(zhí)行木馬后門“calc2.exe”，360報(bào)毒并且將木馬后門刪除，原文件也備份到了病毒隔離區(qū)，看來沒有成功實(shí)現(xiàn)360免殺。










雖然失敗了，但是我們會(huì)就此放棄嗎？當(dāng)然不會(huì)，我們給木馬后門加點(diǎn)升級(jí)免殺能力，使用“upx -5 calc2.exe”命令，這條命令的作用是對(duì)木馬后門進(jìn)行加殼操作，加殼后木馬后門的免殺能力會(huì)更強(qiáng)。







出了點(diǎn)小意外，加殼后木馬后門的圖標(biāo)變了，不是原來的小計(jì)算器圖標(biāo)，但是沒關(guān)系，我們的主要目的是測(cè)試木馬能否成功免殺，我們將升級(jí)版的木馬后門拖拽到windows系統(tǒng)物理機(jī)桌面上，雙擊運(yùn)行，360并沒有報(bào)毒，看來加殼后是成功實(shí)現(xiàn)360免殺了。







僅僅只是實(shí)現(xiàn)了360免殺，我們還不夠滿意，接著我們借助一個(gè)專門用來檢驗(yàn)文件安全性的網(wǎng)站——多引擎在線病毒掃描網(wǎng)，這個(gè)網(wǎng)站當(dāng)前支持47款殺毒引擎，利用這個(gè)網(wǎng)站，我們看看木馬后門能夠?qū)崿F(xiàn)多少個(gè)殺毒引擎的免殺。


網(wǎng)址：https://www.virscan.org/language/zh-cn/

網(wǎng)站使用方法：

點(diǎn)擊瀏覽




選中木馬后門







點(diǎn)擊掃描一下







文件正在掃描中







掃描結(jié)果出來了，部分截圖顯示大部分殺毒引擎都沒有發(fā)現(xiàn)病毒，其中奇虎360也沒有。