殺毒軟件的工具

-.z..freebuf./sectool/102595.html那些年，我們用來"躲避〞殺毒軟件的工具在滲透測試的時候，我們可能需要躲避殺軟程序，特別是在post攻擊階段要在目標(biāo)機(jī)器上執(zhí)行特定文件的時候。有時候，繞過特定的殺軟是一個挑戰(zhàn)，因為并沒有標(biāo)準(zhǔn)的躲避殺毒軟件的方法和技術(shù)。因此，我們需要嘗試一個不同的方法來繞過它們。這篇文章將介紹常用的躲避殺軟的工具。文件分割和十六進(jìn)制編輯器我們要討論的第一個技術(shù)就是使用文件切割工具來定位殺軟檢測的特征，然后修改它。這是一個比擬老的繞過殺軟的方法。如果我們能夠準(zhǔn)確定位出被檢測的特征，這個技術(shù)是很有效的。然而，這個技術(shù)也有限制。如果我們破壞了應(yīng)用程序的功能，即便我們躲避了殺軟也是無用的。所以，只要我們在修改特征的時候沒有改變它的功能，就是可以的。這可以使用文件分割工具來實現(xiàn)，它能把二進(jìn)制分割成多個局部。分割方式應(yīng)該是這樣的，每一個局部都比前一個局部多一個固定大小的內(nèi)容。然后，我們使用殺軟掃描這些分割好的塊兒，判斷哪一個塊兒被首先標(biāo)記為惡意軟件。我們需要重復(fù)這個過程直到定位出特征確實切位置。"Dsplit〞和"Evade〞之類的工具就可以用來分割文件。一旦定位出特征，我們需要修改它然后保存。讓我們用一個例子來說明它是怎樣對抗殺軟的吧。我從這里下載了wce.e*e。這是在post攻擊階段常用的獲取明文口令的工具。當(dāng)我們在virustotal上掃描這個工具時，56個殺軟中有47個把它識別為惡意軟件。通過使用Dsplit，我們發(fā)現(xiàn)殺毒軟件使用歡送字符串來檢測它，這個字符串會在工具運(yùn)行時顯示。因此，我用十六進(jìn)制個編輯器翻開wce.e*e，通過把大寫轉(zhuǎn)換為小寫，小寫轉(zhuǎn)換為大寫的方式改變其特征。如下所示：在對二進(jìn)制文件作了上面的修改后，再次在virustotal上掃描，這次發(fā)現(xiàn)56個殺軟中有42個將其標(biāo)記為惡意軟件。然而，這樣并不能繞過大多數(shù)殺毒軟件程序，如果我們能夠準(zhǔn)確定位出被哪些殺軟檢測的特征的話，我們就可以躲避它們。作為一個例子，下面是原始的wce程序，從內(nèi)存中提取口令。原始wce.e*e的輸出在修改了二進(jìn)制文件后，功能沒有變化。它依然可以從內(nèi)存中得到口令。如下列圖。修改后的wce.e*e的輸出Hyperion加密二進(jìn)制也是一種常用的過殺軟的方法。加密器的原理就是混淆二進(jìn)制來對抗殺軟。當(dāng)二進(jìn)制文件運(yùn)行的時候加密的內(nèi)容會被復(fù)原。KaliLinu*有一個開源的加密器，名為Hyperion，已經(jīng)可以下載使用。我用的是從上面的鏈接處下載的工具。讓我們看看這個工具怎么用。在我們使用Hyperion之前，首先讓我們在virustotal上掃描wce.e*e的32位版本。正如我們看到的，有44個殺軟把它識別為惡意軟件。讓我們用Hyperion加密這個文件，如下：讓我們再次掃描這個新生成的文件，看看檢測率。如上圖所示，與未加密的文件相比，這個得到了更低的檢測率。Veil-EvasionVeil-Evasion是另外一個用python寫的流行的框架。我們可以用這個框架生成能夠躲避大多數(shù)殺軟的載荷?？梢詮钠涔倬W(wǎng)上下載到Veil-evasion。首先，下載并安裝Veil-Evasion，然后運(yùn)行它，命令為："veil-evasion〞正如我們看到的，已經(jīng)加載了46個載荷。我們可以使用"use〞命令選擇特定的載荷。我選擇第31個，創(chuàng)立一個python/meterpreter/rev_tcp可執(zhí)行載荷。實際上，它創(chuàng)立了一個python腳本，然后會使用工具轉(zhuǎn)換為可執(zhí)行文件，比方：pyinstaller。在上圖中，我們設(shè)置LHOST為，輸入命令"generate〞生成載荷。接下來，它會讓我們輸入載荷的名稱，我將其命名為"backdoor〞。如上面提及的，Veil會把python文件轉(zhuǎn)為e*e，它詢問我們選擇什么工具來轉(zhuǎn)換。我個人而言，喜歡Pyinstaller，我輸入1選擇它。這兩步如下列圖所示一旦完成，它就會創(chuàng)立出最終的載荷，并顯示它的路徑，如下：正如我們在上圖看到的，這個框架的作者不建議我們把樣本上傳到網(wǎng)上。因此，我在Avast殺軟的沙盒環(huán)境中測試這個載荷，沒有被檢測到。這些載荷在目標(biāo)機(jī)上也會工作得很好。下列圖展示了使用上面創(chuàng)立的載荷獲取的一個meterpretershell?？梢栽囋噹Ъ用艿钠渌d荷，效果會更好。peCloakpeCloak是另外一個有趣的工具，我是從下面的鏈接處下載的。.securitysift./pecloak-py-an-e*periment-in-av-evasion/這個腳本自動采用多種技巧躲避殺軟。作者為了自己使用開發(fā)了這個工具，之后公開發(fā)行了beta版。這個腳本可以啟發(fā)我們寫出自己的躲避殺軟的腳本。讓我們看看怎么用它為此，我要用msfvenom創(chuàng)立一個meterpreter載荷。如下列圖：讓我們在virustotal上掃描這個載荷"test.e*e〞，如下列圖。56個殺軟中有36個殺軟將其標(biāo)記為惡意軟件?，F(xiàn)在，讓我們執(zhí)行peCloadk.py腳本。我們以默認(rèn)的參數(shù)執(zhí)行這個腳本，如下：它創(chuàng)立了一個名為"cloaked.e*e〞的文件，如上圖所示。讓我們掃描這個新載荷，看看有多少殺毒軟件引擎將其識別為惡意軟件。56個中只有26個將其識別為惡意軟件。結(jié)