|
|
5.2.2Shell的免杀处理
1.加密免杀
可以使用多重编码技术增强伪装Shell的免杀能力,但是复杂的组合可能导致编码后的程序无法正常运行
2.加壳免杀
可以使用一些加壳工具对恶意代码进行加壳处理,比如UPX等
3.修改特征码免杀
大部分杀毒软件的根据就是对比特征码,对比硬盘中储存的文件的特征码,能全面地查杀,对比在内存中储存的文件特征码,可以快速的查杀,针对这一特性,可以用特征码定位软件定位文件特征码的所在之处,在用UltraEdit对被修改的特征码进行修改。一般的修改方法有:
十六进制的数据特征码直接修改法
字符串大小写修改法
等价替换法 把对应的汇编指令替换成功能类似的指令
指令顺序调换法
通用跳转法
修改特征码的方法针对性很强,但只能针对一款杀毒软件,因为各家杀毒软件的特征码不一样。
5.3社工攻击工具包SET
可进行制作钓鱼网站,钓鱼邮件等等,功能强大,
5.4U盘 Hacksaw攻击
向U盘写入Shell程序,然后修改autorun.inf文件,让其指向Shell安装程序,那么windows会运行这个程序。
一些隐藏Shell的方式:
作为系统文件隐藏
伪装成其他文件
藏于系统文件夹中
运用windows漏洞建立路径不存在或者打不开的文件夹
制作Hacksaw U盘
Hacksaw是使用U盘进行攻击的软件,具体步骤如下:
1.下载安装工具UltraISO
2.下载Hcaksaw
3.解压下载的压缩包到一个单独目录
4.插入U盘
5.启动UltraISO,并打开先前解压后目录下的cruzer-autorun.iso
6.点击启动,写入硬盘映像
7.选择U盘并写入
8.把payload目录下的隐藏ShellWIP及攻击载荷复制到准备好的U盘的跟目录下
9.修改WIP/SBS目录下的send.sat文件
10.需要autorun.inf文件 把shellexecute替换open
11.升级stunnel软件
12.把autorun.inf和go.vbe修改为隐藏文件 |
|
发表于 2019-2-17 22:14:27
