0x01 免殺能力一覽表
幾點說明:
1、上表中標識 √ 說明相應防毒軟體未檢測出病毒,也就是代表了bypass。
2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模組生成。
3、由於本機測試時只是安裝了360全家桶和火絨,所以預設情況下360和火絨防毒情況指的是靜態+動態查殺。360防毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛士12.0.0.2002(2020.01.01)。
5、完全不必要苛求一種免殺技術能bypass所有殺軟,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。
0x02zirikatu介紹
zirikatu是乙個用bash編寫的小指令碼,依賴於msf、mono、mcs等軟體,也是呼叫msfvenom生成shellcode,然後將shellcode嵌入c#**,試用mcs編譯生成exe後門。
mono可以讓.net程式跨平台執行在linux,bsd,windows,macos,sun solaris,wii,索尼playstation,蘋果iphone等幾乎所有常見的作業系統之上。從mono2.11版本開始,採用的編譯器叫mcs,它的作用是將c#編譯為cil(common language infrastructure,通用中間語言,也叫msil微軟中間語言,這個語言能執行在所有支援cil的環境中)
0x03 安裝zirikatu
0x04 zirikatu使用說明
執行命令
0x05 生成後門
還是使用最常規的reverse_tcp進行測試,選項都比較簡單,預設填寫就可以
測試機執行,360和火絨靜態檢測和動態檢測都可以bypass
那個彈窗是我故意加的,生成payload的時候不加就可以
msf可正常上線
0x06 小結
zirikatu利用msfvenom生成shellcode,之後再進行一定處理,編譯生成exe。原理比較簡單,操作比較方便,免殺效果相比專題12裡的green-hat-suite來說雖然一般,但能過360、火絨和瑞星的確有點出人意料。
參考msf&zirikatu免殺結合利用:
遠控免殺專題 18 ASWCrypter免殺
免殺能力一覽表 幾點說明 1 上表中標識 說明相應防毒軟體未檢測出病毒,也就是代表了bypass。2 為了更好的對比效果,大部分測試payload均使用msf的windows meterperter reverse tcp模組生成。3 由於本機測試時只是安裝了360全家桶和火絨,所以預設情況下360...