分类目录归档:免杀技术

[转]安全漏洞–基于NDAY和0DAY漏洞免杀技巧

https://blog.csdn.net/microzone/article/details/71440685

一 概念简介

        0day中的0表示zero,早期的0day表示在软件发行后的24小时内就出现破解版本,现在我们已经 引申了这个含义,只要是在软件或者其他东西发布后,在最短时间内出现相关破解的,都可以叫 0day。 0day是一个统称,所有的破解都可以叫0day。简而言之,0day就是代表还没有公开的漏 洞,nday就是代表已经公开了的漏洞。漏洞开发者在利用0day和Nday时,除了在逃过windos的自身安全机制的基础上,不可避免的要接触到与杀软对抗的工作,就一般情况来看,如果针对特定的目标杀软还是有很大可能可以绕过,难点是通用所有的杀软。另外值得注意的一点,现今主流杀软很多,在通用的前提下,免杀工作往往占用很多时间。

二 构造POC…

发表在 免杀技术, 思维启发 | 留下评论

绕过杀软的新姿势:Process【转】

Process Doppelgnging与Process Hollowing技术类似,不同之处在于前者通过攻击Windows NTFS 运作机制和一个来自Windows进程载入器中的过时的应用。

Process Hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。

Process Doppelgnging同时利用两种不同的关键功能,以此掩盖已修改可执行文件的加载进程。研究人员使用NTFS事务修改实际上不会写入到磁盘的可执行文件,之后使用未公开的进程加载机制实现详情来加载已修改的可执行文件,但不会在回滚已修改可执行文件前执行该操作,其结果是从已修改的可执行文件创建进程,而杀毒软件的安全机制检测不到。

“Process

发表在 免杀技术, 未分类 | 留下评论

分享一种可关闭大多数杀软的技术(对360安全卫士已验证成功)【转】

[更新]360公司针对此文发出回应:

360安全卫士能够防御“模拟用户退出安全软件”的攻击方法,本文的演示应该是在64位系统关闭了360“核晶引擎”的情况下进行的。

由于64位系统的限制,安全软件需要应用CPU硬件虚拟化技术才能具备完整的防护能力,否则任何安全软件都可以被轻易关闭。核晶引擎是360在国内首家针对64位系统推出的CPU硬件虚拟化防护引擎,在开启了64位系统默认打开的“核晶引擎”后,360能够防御本文描述的攻击方法,读者可以自行验证。


声明:本文由expsky@MS509Team原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。 

木马与杀软的对抗从未停止,这样的对抗客观上也促进了安全技术的进步与发展。病毒、木马除了本身的功能以外,最重要一部分就是与杀软的对抗,这也是技术难点所在。试想一下如果在一台没装杀软的电脑上,病毒木马不需要什么注入、白加黑、rootkit技术来隐藏进程,不需要用什么高深未公开的方式来实现自启动,不需要精心构造隐秘通道实现C&C通信,不需要加密混淆来躲避静态查杀,也不用担心调用了跨进程内存读写或者注册表敏感位置读写、磁盘扇区读写、驱动加载等被杀软主防列为的危险API…….只需一个十多年前的简单木马就可以为所欲为。

关闭杀软,是病毒木马追求的最理想状态,但能做到这点只有极少数的特种木马或rootkit型木马能办到,绝大部分木马也只是通过各种技术手段来绕过杀软的部分功能,少有听说能关掉杀软的木马。

真有能关掉杀软的技术手段吗?

0×01 原理思路

我们尝试用模拟真实用户的操作,来关闭杀软。这里用360安全卫士目前最新版作为实验对象。是否能成功,我们一起往下看。…

发表在 免杀技术, 未分类 | 留下评论

免杀新姿势:利用线程将恶意代码注入到内存中【转】

产生存放远程攻击线程的进程

在这篇文章中我不想一步一步解释我编写的C#代码,但是我会展示下它能够绕过杀毒软件,并且操作非常简单,而且实用。

首先说明一下:

1. 我是在三年前发现这个攻击方法的,当我在做免杀的时候我发现了很多都是以0x0地址开始的进程。在我的win7系统中这种恶意代码绕过了我的杀毒软件,只是在内存中可以找到,然后以系统权限运行。所以,当然是NSA干的咯!

2. 这并不意味着以0x0开始的进程都是进行恶意注入的。

就像刚才所说,我不会将我的”NativePayload_Tinjection.exe”代码分享出来,不过我会阐述下如何在C++,C#或者其他语言如何进行编写攻击poc。

下图中你可以看到当远程进程加载时发生了什么事情,他已经一步一步的展示出来。并且你可以使用C#或者其他语言提供的windowsAPI很简单的实现。

上图中的”evil.dll”是我们通过msfvenom生成的攻击载荷,在kali …

发表在 免杀技术, 未分类 | 留下评论

巧用COM接口IARPUninstallStringLauncher绕过UAC【转】

前言

最近笔者对之前利用windows卸载接口绕过UAC的研究资料进行了整理,这里指的并非Github这份代码中的模拟鼠标点击的方式,而是编码实现程序自身调用windows卸载接口从而绕过UAC的方式。

简介

细心的朋友可能会发现,通过windows的控制面板卸载程序的时候不会触发UAC框,那么其背后的原理是什么呢?主要有三点:

1.调用位于CARPUninstallStringLauncherCOM组件中IARPUninstallStringLauncher接口的LaunchUninstallStringAndWait方法来实现卸载程序。

2.获取autoelevate的IARPUninstallStringLauncher接口指针,这里实际就是将中完整性级别提升至高完整性级别,这一步在不可信的宿主程序中执行的时候会触发UAC窗口。

3.步骤2中的操作要在windows的白名单程序中执行才不会触发UAC框,哪些是白名单程序呢?位于系统目录%systemroot%下的很多exe都是白名单程序,比如说:记事本,计算器,桌面等等。

逆向分析控制面板的卸载功能

发表在 免杀技术, 未分类, 资源收集 | 留下评论

Veil-Evasion:基于Python的免杀Payload生成工具【转】

简介

Veil-Evasion是一个用python写的流行的框架。我们可以用这个框架生成能够规避大多数杀软的载荷。Veil-Evasion被原生设计为在kali上,但其实存在python环境的系统上应该都能运行。

你可以用命令行轻松调用Veil-Evasion,按菜单选项生成payload。在创建payload的时候,Veil-Evasion会询问你是否想把payload文件用Pyinstaller或者Py2Exe转为可执行文件。

安装

下载

  • 官网:https://www.veil-framework.com/
  • github项目地址:https://github.com/Veil-Framework/Veil-Evasion

安装

kali linux可以直接…

发表在 免杀技术, 未分类 | 留下评论

那些年,我们用来“躲避”杀毒软件的工具[转]

那些年,我们用来“躲避”杀毒软件的工具

发布于 2016/04/26 FreeBuF.COM
*本文仅供安全研究和教学用途,禁止非法使用

在渗透测试的时候,我们可能需要规避杀软程序,特别是在post攻击阶段要在目标机器上执行特定文件的时候。有时候,绕过特定的杀软是一个挑战,因为并没有标准的规避杀毒软件的方法和技术。因此,我们需要尝试一个不同的方法来绕过它们。这篇文章将介绍常用的规避杀软的工具。

文件分割和十六进制编辑器

我们要讨论的第一个技术就是使用文件切割工具来定位杀软检测的特征,然后修改它。这是一个比较老的绕过杀软的办法。如果我们能够精确定位出被检测的特征,这个技术是很有效的。然而,这个技术也有限制。如果我们破坏了应用程序的功能,即便我们规避了杀软也是无用的。所以,只要我们在修改特征的时候没有改变它的功能,就是可以的。

这可以使用文件分割工具来实现,它能把二进制分割成多个部分。分割方式应该是这样的,每一个部分都比前一个部分多一个固定大小的内容。然后,我们使用杀软扫描这些分割好的块儿,判断哪一个块儿被首先标记为恶意软件。我们需要重复这个过程直到定位出特征的确切位置。“Dsplit”和“Evade”之类的工具就可以用来分割文件。一旦定位出特征,我们需要修改它然后保存。

让我们用一个例子来说明它是怎样对抗杀软的吧。

发表在 免杀技术 | 标签为 , , , | 留下评论

新的沙盒逃逸技术[转]

新的沙盒逃逸技术

自从诞生沙盒技术来阻挡恶意软件之后,恶意软件也在时刻想办法逃避沙盒,所谓沙盒逃逸技术。绿盟科技安全研究员做分析的过程中,发现Upatre木马新变种采用了新的逃逸技术。

Upatre沙盒逃逸新技术

Upatre木马使用了一些新的逃逸技术,来逃逸动态沙盒引擎的检查,这些技巧都非常的简单,但是非常的有效果。目前,VirusTotal上Upatre的检出率并不高,此次的新变种就检测不出来,这说明现在的恶意软件对付杀毒软件是越来越有办法了。

发表在 免杀技术, 沙盒 | 标签为 , , , | 留下评论