杀软推荐:红蓝对抗经验分享:CS免杀姿势 2024-04-02 21:21:53 0 0 前言 红队在攻防演练中一般使用钓鱼实现突破边界,蓝队通过钓鱼实现溯源反制,但是都离不开一个好的免杀马,这里分享一下自己的免杀过程,过火绒、360杀毒、Windows defender以及赛门铁克等主流杀软都没问题。 杀软工作原理 杀软的查杀方式有多种,比如特征识别,是基于各个厂商收集的病毒样本,依据病毒样本提取的病毒特征,所以杀软的能力在一定程度上也取决于病毒库的大小,这种基于特征识别一般是基于静态。启发式的工作原理基本上可以定义为动态查杀或者是机器学习方法的一种查杀手段,会依据可能执行程序或者关注应用系统重要区域行为而做出的查杀行为。 免杀手段 修改特征码,可以根据污点检测的方式定位到触发杀软规则的病毒样本特征,修改明显的特征在一定程度上是可以实现免杀的。 花指令免杀,在程序 shellcode或特征代码区域增添垃圾指令,增加的垃圾指令不会影响文件执行,在动态查杀或者文件hash对比是校验会不一致。 加壳,比如upx加壳等,一般文件落地后对比哈希值也可绕过杀软。 二次编译,一般用于对shellcode进行二次编译bypass杀软。 poweshell免杀,但是一般防护软件或者系统本身正常调用powershell应用程序的时候都会产生告警,一般的安全设备是过不了的,需要在命令上使用手段绕过安全设备监测。 免杀 CS生成payload 添加监听器,生成payload [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QbSHYOHy-1691742603105)(https://image.3001.net/images/20220802/1659422526_62e8c73e466653b5b7239.png!small)] 下载go-strip.exe,混淆二进制go编译信息 下载地址 <https://cdn.githubjs.cf/boy-hack/go-strip/releases/download/v3.0/go- strip_0.3.4_windows_amd64.zip> [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n9mZ3WJF-1691742603107)(https://image.3001.net/images/20220802/1659422527_62e8c73f06b5dfaa95aab.png!small)] 运行脚本bypass go run main.go [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wc0FqnMR-1691742603108)(https://image.3001.net/images/20220802/1659422527_62e8c73fc05844690eed0.png!small)] 核心内容就是加密方式 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pkI4cMrB-1691742603109)(https://image.3001.net/images/20220802/1659422528_62e8c7406f8d48180b8d2.png!small)] shellcode二层加密。 ① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS) 这里没有直接放源码,因为担心样本被打标签,这里推荐几个项目,这里的话尽量使用go不建议python https://github.com/TideSec/BypassAntiVirus https://github.com/admin360bug/bypass https://github.com/hack2fun/BypassAV/blob/master/bypass.cna 这里我修改了生成的exe。安装火绒,查杀 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pIjnyd4S-1691742603110)(https://image.3001.net/images/20220802/1659422529_62e8c74130e298161858b.png!small)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z18fNHHE-1691742603111)(https://image.3001.net/images/20220802/1659422529_62e8c741dad5f7be8f74a.png!small)] CS上线 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p5W9Q787-1691742603112)(https://image.3001.net/images/20220802/1659422530_62e8c7429c53212fc5c85.png!small)] 加壳 另外再加壳测试。地址 https://upx.en.softonic.com/ 简单的压缩壳 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7RdZzq7Y-1691742603113)(https://image.3001.net/images/20220802/1659422531_62e8c7436068b0442bace.png!small)] upx.exe -f Go_bypass.exe [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XQ11yqgH-1691742603114)(https://image.3001.net/images/20220802/1659422532_62e8c7442d6aad847133a.png!small)] 加壳后生辰的exe文件大小为406KB [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R0Y6JrvI-1691742603115)(https://image.3001.net/images/20220802/1659422532_62e8c744e60222c3f4a1f.png!small)] 可以看到加壳之前的文件大小为1011kb 修改加壳后的文件名为upx_Go_bypass方便确认上线状态 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TUT2fLVZ-1691742603118)(https://image.3001.net/images/20220802/1659422534_62e8c746726b61f11ccb0.png!small)] 成功上线,继续查看加壳后的免杀效果 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uRLzQUIK-1691742603119)(https://image.3001.net/images/20220802/1659422535_62e8c74730fa34f453dce.png!small)] 此时火绒对于有加壳前和加壳后的文件都未报毒 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QpKhG3v4-1691742603120)(https://image.3001.net/images/20220802/1659422535_62e8c747df83324fd599c.png!small)] 虽然加壳前的报毒了,但是加壳后的未报毒。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CeXaPLQ4-1691742603121)(https://image.3001.net/images/20220802/1659422536_62e8c748b710cf277656f.png!small)] 赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。 总结 多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。 Q4-1691742603121)] 赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。 总结 多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。 接下来我将给各位同学划分一张学习计划表! 学习计划 那么问题又来了,作为萌新小白,我应该先学什么,再学什么? 既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起: 阶段一:初级网络安全工程师 接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。 综合薪资区间6k~15k 1、网络安全理论知识(2天) ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要) 2、渗透测试基础(1周) ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等 3、操作系统基础(1周) ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全(系统入侵排查/系统加固基础) 4、计算机网络基础(1周) ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析(HTTP、TCP/IP、ARP等) ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现 5、数据库基础操作(2天) ①数据库基础 ②SQL语言基础 ③数据库安全加固 6、Web渗透(1周) ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等) 那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗? 阶段二:中级or高级网络安全工程师(看自己能力) 综合薪资区间15k~30k 7、脚本编程学习(4周) 在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。 零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime; Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完 用Python编写漏洞的exp,然后写一个简单的网络爬虫 PHP基本语法学习并书写一个简单的博客系统 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选) 了解Bootstrap的布局或者CSS。 阶段三:顶级网络安全工程师 如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享! 学习资料分享 当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。 收藏(0)