这几天一直在忙,没时间学新东西,也不知道写什么,正好今天有人跟我要免杀,cs 二开的东西,这里就水一篇文章,带各位入门免杀,建立一个免杀思路。
1、什么是免杀?
首先各位需要了解一下,免杀的基本概念
免杀,全称为反杀毒技术,用来使木马病毒程序逃过杀毒软件的检测
免杀的学习成本是很高的,因为他涉及了很多门技术,包括逆向工程,汇编代码,系统底层,程序设计等等,但也为此,你学好免杀,你也能在安全圈子里独霸一方。
2、免杀的应用对象
一般的免杀,都是和我们的 C2 服务器相关联的,那这时就要有人问了
什么是 C2?
C2 的全称是 Command & Control Server,又称 C&C 服务器,也就是命令控制服务器,光看这些东西,各位可能不太了解,那我举个例子,我们常用的 CS 就是一个标准的 C2 服务器。
除了 CS,在市面上还有很多的 C2 服务器,像是 MSF,帝国,Sliver 等等。
这里着重说一下 Sliver。
https://github.com/BishopFox/sliver
这是国外的一位天才少年黑客,拿 golang 写的一款 C2 服务器,整体的功能较为完善,而且其本身生成的木马是可以裸过 X 绒的。
3、杀软是怎么检测的?
想要学会免杀,第一点就是要了解杀软是怎么检测木马病毒的,一般现在的杀软的检测方式都会是以下的几种
特征码---这个很容易绕过,你自己去修改特征就好,比如 cs 的端口为 50050,我们可以改成 3344 等其他端口
行为检测---这个是现在免杀的一个大门槛,杀软会检测木马的各种行为,这时候我们就要想办法让杀软信任我们,比较简单的方法比如使用 powershell 等这些白名单的父进程去伪装我们的木马
内存扫描----这个和特征码扫描差不多,只不过这个是在内存中扫描,我们可以利用一些特殊的方式对内存的 beacon 加密,达到免杀的目的
沙盒分析----这个也是比较新的技术,可能很多师傅都有过一段经历,某天一醒来,自己的 cs 突然上线一堆的主机,这就是因为自己的木马被人上传到沙箱里,所以我们读取到了很多沙箱的机器 ip,这里就需要我们研究反沙箱技术
4、编程语言选择
这里就简单说一嘴,所有的编程语言都能用来做免杀,只是难易度不同,比如 golang 免杀,这个难度就很高,因为 360 核晶检测到莫名其妙的 Go 文件会直接杀,当然还有 python,虽然 python 相对简单,但他代码量太大,体积大,确实不太适合做免杀
这里我还是建议使用 C/++来搞免杀。
5、免杀注意点
不要上线就杀掉杀软!不要上线就 whoami!不要上传 VT!
不要上线就杀掉杀软!不要上线就 whoami!不要上传 VT!
不要上线就杀掉杀软!不要上线就 whoami!不要上传 VT!
