黑客协会:黑客进阶之免杀后门第一章

黑客协会:黑客进阶之免杀后门第一章

中国黑客协会创始人花无涯带你走进黑客世界系列技术文章

因为免杀中涉及技术比较多:漏洞、shellcode、杀软分析与逆向、加密、花指令等等。自从杀毒软件开始反rootkit以来,利用驱动防火墙已经让内核rootkit的生存空间变得非常小了,在win10上更难以成功安装,但是并不会绝迹,你要知道windows只要支持第三方驱动安装,rootkit就可以用同样的方法入侵,现在很多rootkit都是有驱动签名的,当然如果黑客有内核级漏洞那么也可以成功安装rootkit。

黑客协会:黑客进阶之免杀后门第一章_第1张图片

请点击此处输入图片描述

反杀软检测技术介绍

应该说每一类型的恶意软件所实施的反检测技术都是不一样的(恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等),虽然本文会对所有相关的反检测技术都进行介绍,但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上,工具黑协优盘里头都包含。

因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击,例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击, 另外,MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。

当然如果你不懂免杀,还是新手入门,推荐你看微博的前几个系列的文章,同时推荐经典黑客攻防技术学习书籍《网络黑白》某宝有。

完美的免杀方法

到目前为止,要实现恶意软件的“FUD”,加密恶意代码被认为是个不错的选择,不过有几点要注意:

1.恶意程序在解密时,应当也进行代码混淆

2.当恶意文件在内存中运行解密代码时,我们必须要保证在不重定位绝对地址的情况下进行

3.恶意软件是否在沙箱环境中运行,如果是,则立马停止恶意文件的解密

4.应当只对 PE 文件中的 shellcode 或 只有二进制文件的.text部分进行加密,而不是对整个 PE 文件进行,以便把信息熵和降到最低

以下是恶意软件流程图。

黑客协会:黑客进阶之免杀后门第一章_第2张图片

请点击此处输入图片描述

我们的“杀软检测”功能将检测恶意软件是否正在沙箱中被动态分析,如果功能检测到AV扫描器的任何迹象,则它将再次调用主函数或者仅当 “AV Detect” 函数来用。如果没有发现AV扫描器的任何迹象,它会调用 “解密Shellcode” 的功能。

免杀技术已经发展非常高级了,不知道你是想问rootkit的免杀技术,还是单指免杀技术。rootkit免杀类似于前面的回答,能在系统中成功安装,就达到免杀的效果了。

如果单指免杀技术,那就非常广了,现在的免杀不在是像以前那样改改特征就了事,现在免杀要做到过特征检测、过主动防御、过行为检测、过云查杀等等,以后可能还要面对智能杀毒引擎的查杀,肯定是多维度的。但是要说免杀有多难,也不难,关键看你对杀软的分析程度以及你个人的思路,现在能躲避查杀恶意软件攻击数量不是在减少,而是在增多的。

同时花无涯带你走进黑客世界系列文章会继续更新。

你可能感兴趣的:(黑客协会:黑客进阶之免杀后门第一章)