Powershell免杀 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线.然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法. 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记. 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式,一般都为远程下载然后执行的方法,特点就是:直接内存运行,无文件落地. 例如: powershell.exe -nop…

转载https://www.jianshu.com/p/f158a9d6bdcf 前言 在接触到Cobalt Strike的时候就知道有各种插件,想象着那天也可以自己学习编写一个.在之前分析Cobalt Strike powershell木马的时候,正好看到了Win-PS2EXE 项目用来编译为exe,免杀效果还不错且大小只有几十KB.即如此,何不利用Aggressor Script 编写一个cna脚本用来实现Win-PS2EXE编译为exe? Sleep 语言 我们都知道Cobalt Stri…

转载https://www.jianshu.com/p/fb078a99e0d8 前言 文章首发于Freebuf 在之前发布的一篇 渗透技巧之Powershell实战思路 中,学习了powershell在对抗Anti-Virus的方便和强大.团队免杀系列又有了远控免杀从入门到实践(6)-代码篇-Powershell 更是拓宽了自己的认知.这里继续学习powershell在对抗Anti-Virus的骚姿势. 绕过执行策略 powershell 可以通过绕过执行策略来执行恶意程序. 而从文件是否落地…

目录 免杀原理与实践 一.基础问题回答 1.杀软是如何检测出恶意代码的? 2.免杀是做什么? 3.免杀的基本方法有哪些? 二.实验内容 1. 正确使用msf编码器 2. msfvenom生成如jar之类的其他文件 3. veil-evasion安装和使用 4. 加壳工具 5. 使用shellcode编程 6.总结 三.异主机实测 四.总结与体会 免杀原理与实践 一.基础问题回答 1.杀软是如何检测出恶意代码的? 基于特征码的恶意软件检测:简单来说特征码就是一串代码段,只是由于这一串代码段可以表明…

1.基础问题回答 (1)杀软是如何检测出恶意代码的? 杀毒软件有一个病毒的特征码库,通过识别恶意代码的特征码或者特征片段检测恶意代码 杀毒软件通过动态检测对象文件的行为来识别恶意代码,如果他的行为在一定程度上和病毒相符,那么我们说这是一个恶意代码 (2)免杀是做什么? 避免恶意代码被杀毒软件查杀 (3)免杀的基本方法有哪些? 通过加壳.重组编码shellcode来改变恶意代码的特征码 通过改变恶意代码的操作方式及通讯方式等行为来避免被查杀 3.离实战还缺些什么技术或步骤? 现在的杀毒软件的各种特…

Exp3 免杀原理与实践 20154305_齐帅 想要弄懂免杀,一定得先把基础问题弄明白啊~~ 一.基础问题回答 (1)杀软是如何检测出恶意代码的? - -检测特征码: 依靠分析总结出计算机病毒中常出现的部分 例如,作者名称,地址,执行关键步骤的部分代码,来作为特征码.将大量特征码保存在病毒库中,杀毒依靠检索程序代码是否和库中特征码是否吻合 优点:能较准确查杀:缺点:具有滞后性 - -启发式恶意软件检测: 如果该程序的特征和行为与病毒程序类似,其匹配程度达到一定值就可以认为该程序是病毒程序 优点…

目录 Exp3 MAL_免杀原理与实践 实验内容 对msf生成后门程序的检测 Veil-Evasion应用 Visual Studio2017 + shellcode生成后门 主要思路 知识点 最后的进化--加壳 启发 Exp3 MAL_免杀原理与实践 本次实验操使用Virustotal,VirScan作为测试平台,尝试通过Veil-Evasion重新,交叉编译,加壳等方式逃过杀软检测. 实验内容 实验环境 Kali linux 64bit(虚拟机) 实验工具Virustotal,VirScan…

实验预习 免杀: 看为一种能使病毒木马避免被杀毒软件查杀的技术. 免杀的分类: 开源免杀:指在有病毒.木马源代码的前提下,通过修改源代码进行免杀.. 手工免杀:指在仅有病毒.木马的可执行文件(.exe)(PE文件)的情况下进行免杀.: 文件免杀方法: 加冷门壳 加壳改壳:在加壳的基础上进行修改. 加花指令:加花的原理就是通过添加加花指令让杀毒软件检测不到特征码,干扰杀毒软件正常的检测. 改程序入口点:修改程序入口点 实验内容 msfvenom直接生成meterpreter可执行文件 Msfven…

20155339 Exp3 免杀原理与实践 基础问题 (1)杀软是如何检测出恶意代码的? 基于特征码的检测(杀软的特征库中包含了一些数据或者数据段,杀软会尽可能的更新这个特征库,以包括尽可能多的恶意代码,当一个可执行文件(或其他运行的库.脚本等)包含这样的数据则被认为是恶意代码). 启发式恶意软件检测(很简单,就是根据些片面特征去推断,也就是进行检测,当某个软件或者程序想干一些看起来像是恶意软件干的事情,那么机会被定义为恶意软件,检测效果比较显著,可以检测0-day恶意软件,但通常是因为缺乏精确…

目录 基础问题 相关知识 实验内容 实验步骤 实验过程中遇到的问题 离实战还缺些什么技术或步骤? 实验总结与体会 实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧 通过组合应用各种技术实现恶意代码免杀 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 返回目录 基础问题 杀软是如何检测出恶意代码的? 基于特征码:如果一个可执行文件(或其他运行的库.脚本等)包…