admin管理员组文章数量:1595929
前言
欢迎来到我的博客
个人主页:北岭敲键盘的荒漠猫-CSDN博客
本文主要整理木马后门类免杀的基础前置知识
内容也不多,文章比较短
大体做个免杀了解
杀软查杀点位
1.静态查杀:直观理解为,我们msf之类的生成的木马模板相同,他只要看这个文件与自己库中病毒文件特征匹配,那么就是木马杀除。
2.动态查杀:直观理解为,有些工具的木马特征都会开启某个线程,或者都会在运行中做什么事情,杀软通过这个软件运行时的行为来判断查杀木马。
3.流量监控:木马在执行是,流量中明显存在一些不该有的参数等,判断木马。
4.行为监控:木马执行一些敏感操作,比如注册表,提权等。判断木马。
常见杀软特点
转载
#常见杀软特点如下:
火绒:静态查杀能力弱,没有动态查杀,横向移动防护比较强,frp等内网穿透受影响。
360安全卫士/360杀毒:静态查杀能力较强,没有动态查杀,如果开启了核晶模式,则行为查杀比较强,注入进程等敏感行为会被拦截;核晶模式在物理机中默认开启,在虚拟机中默认关闭。
360QVM:360QVM 简单的说就是使用了机器学习辅助查杀,在360杀毒引擎设置中开启 360QVM 后静态查杀会变得非常流氓,有一点特征就会被查杀。
Windows Defender:静态查杀能力较强,动态查杀较强,监控 HTTP 流量。
卡巴斯基:普通版静态查杀能力一般,企业版静态查杀能力较强,动态查杀较强。
ESET:静态查杀能力较强,没有动态查杀。
#按照静态查杀能力强弱排列如下:
火绒 < 360安全卫士、360杀毒、Windows Defender、卡巴斯基标准版 < 卡巴斯基企业版、ESET < 360QVM。
目前见过静态查杀能力最强的属360QVM,连国外的杀软都有所不及,可以说360QVM是非常流氓的了。
#按照动态查杀能力强弱排列如下:
火绒、360、ESET < 卡巴斯基 < Windows Defender。
火绒、360、ESET 这几个没有动态查杀。
常用的免杀语言
c/c++
python
go
汇编
越底层的语言编写出来的免杀shell越轻便小巧。
python免杀的可能会有点大,但是python库多易上手。
木马的构成
简单构建一下木马的结构吧~
shellcode+加载器=exe文件。
shellcode是一个尽可能小的机器代码。
加载器是用来执行shellcode的。
最终打包exe文件。
我们要免杀就是从这三方面入手。
版权声明:本文标题:C2免杀--C2软件免杀前置知识 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728242015a1150685.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论