免杀对抗-成品EXE免杀-反特征码-通用跳转

相关文章推荐

气宇轩昂的蜡烛 · Open See Gallery ...· 6 月前 ·

正直的芹菜 · windows下编写bat文件-命令行实现t ...· 1 年前 ·

礼貌的火腿肠 · OpenVPN设置客户端固定IP - 知乎· 1 年前 ·

怕考试的键盘 · 【libssh & CMake】安装 ...· 1 年前 ·

高大的小虾米 · 运用excel中的vba批量新建多个shee ...· 1 年前 ·

因为目标使用的是火绒，所以我们自己搭建一个火绒环境，使用VirTest工具检测出exe程序的什么地方被火绒杀了。

1.将工具和exe程序放到环境中，启动程序，点击制作测试文件---选择exe程序，点击ok后会在工具目录下生成一个virtest.vir文件

2.点击载入测试文件——选择工具目录下生成的文件

3.在保证火绒开启检测的情况下，点击定位特征代码——自动确定——确定。等待完成。

4.检测完成后，工具成功定位到exe程序中被火绒检测的特征码。

5.退出火绒，启动C32反汇编工具，将exe程序拖入工具中，选择16进制打开。修改特征码，看火绒是否还会杀。

下载：https://www.onlinedown.net/soft/10012039.htm

6.找到特征码位置，选中特征码---右键点击填充，填充为00。保存

7.启动火绒，看看是否还会查杀修改后的exe程序。

成功免杀：说明特征码查找正确。如果不能免杀，就是特征码没找对，可以改名重新检测一次试试。

8.关闭火绒，还原或者重新上传exe程序，将程序拖入OllyDbg工具中。点击下图按钮，搜索特征码处

Ollydbg下载：http://www.tugaga.com/soft/bc/945.html#down

安装：记得先执行根目录下 路径修复工具 .exe

9.定位到特征码处，向下滑动一下，然后选中复制，将特征码的汇编地址保存起来

在将特征码下一行也复制保存

10.重新导入exe程序，往下滑找到00区间，选中几个00区间——右键选择二进制-----用nop填充

11.双击一个nop，将第九步复制的特征码写进去。右键复制，将汇编地址保存起来

在下一行也双击写入特征码的下一行的汇编地址

12.复制00区间的特征码汇编地址，保存起来

13.ctrl+G 写入特征码地址，定位到特征码处，将其填充

14.然后双击填充的特征码，写入（jmp 00区间的特征码汇编地址）

以上操作简单来说就是：在代码执行到原来的特征码处时，跳转到00区间处去执行。其实就是将特征码换了一个地方执行。执行了00区间的特征码后，还要跳转回原来特征码的下一行继续执行代码。

17.选中00区间做修改的地方，右键选择保存

点击全部复制

跳转到下图，右键保存文件

18.保存出来的exe文件还是不能免杀，因为只保存了00区间的修改。

为什么只保存了00区间的修改：00区间特征码处和原来特征码处的修改无法同时选中保存。

所以需要再次修改特征码处：将保存了00区间修改的exe程序拖入ollydbg工具中，搜索定位特征码汇编地址后四位

19.选中特征码，右键进行填充

20.然后双击填充的特征码，写入（jmp 00区间的特征码汇编地址）

注意00区间的特征码汇编地址：再次导入exe，前几个数字改变了，写入时注意

21.选中修改的特征码，右键

跳转到如下，右键——保存文件

22.开启火绒检测，只保存了00区间修改的半成品被杀了。但是完全品成功绕过火绒检测，执行exe，msf成功上线。

1.将工具和exe程序放到环境中，启动程序，点击制作测试文件---选择exe程序，点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒，所以我们自己搭建一个火绒环境，使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征码处：将保存了00区间修改的exe程序拖入ollydbg工具中，搜索定位特征码汇编地址后四位。22.开启火绒检测，只保存了00区间修改的半成品被杀了。9.定位到特征码处，向下滑动一下，然后选中复制，将特征码的汇编地址保存起来。

攻击机： win7 IP： 192.168.32.134 靶机： windows server 2012（安装360、火绒） IP： 192.168.32.133第一步：使用njRAT生产一个客户端 exe 木马输入回连端口号8888，点击start 配置客户端木马的回连地址：192.168.32.134 将文件保存在桌面开启360杀毒，直接报毒，不免杀 1、将生成的客户端木马：Server. exe 在 Encryption Tool V3.0中以base64加密方式打开打开之后，将base6

PE文件简述 PE文件的全称是Portable Exe cutable，意为可移植的可执行的文件，常见的 EXE 、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL），这篇文章主要讲对 EXE 文件进行内存加载并运行的方法，代码实现，和完成一个GUI加载器工具的全过程。由上图可以 Dos Header 是用来兼容MS-DOS操作系统的，目的是当.

特征码免杀就是修改病毒文件的内容，从而躲过杀毒软件根据特征码的查杀。特征码免杀要根据杀毒软件定位到的病毒的特征码来进行有针对性的修改，如果胡乱修改，有可能造成病毒体遭到破坏，失去原有的作用。常用的特征码修改的方法有(1)16进制差1 (2)大小写切换 (3)相同命令替换 (4) 特征码移位 (5) 通用跳转等。 16进制差1，大小写切换就不说了。相同命令替换就

web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。 Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略使用msfconsole生产的shellcode之后正常写入到程序的内存里面的话会直接被杀毒软件静态查杀就能杀掉。如果我们直接把shellcode贴入到自己程序中的话，编译出来的 exe 文件就会带上这段byte，而杀毒软件对此非常敏感所以会直接被杀掉。 // An highlighted block unsigned char sendBuf[355] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x5