Kali渗透测试：远程控制被控端免杀及DLL生成、注入反弹_shikata ga nai

Kali渗透测试：远程控制被控端免杀及DLL生成、注入反弹

​ 长期以来，杀毒软件厂商和黑客一直处于博弈的状态，杀毒软件厂商研究了各种检测和清除远程控制被控端的方法，而黑客也在一直致力于研究避开检测的方法（简称为免杀技术）。远程控制被控端也可被看作病毒的一种。

​ 到目前为止，杀毒软件主要使用了3种技术。如下：

• 基于文件扫描的反病毒技术。这种技术主要依靠对程序的二进制代码进行检测，反病毒工程师将病毒样本中的一段特有的二进制代码串提取出来作为特征码，并将其加入病毒库，检测程序时看它是否包含这个特征码。
• 基于内存扫描的反病毒技术。有的病毒程序可能通过各种手段躲过文件扫描，但是想要达到目的，它就需要运行。病毒程序在运行后会将自身释放到内存中，释放后到文件结构与为执行的文件相比有较大的差异。因此基于内存扫描的反病毒技术使用一套针对内存的特征码来检测病毒程序。
• 基于行为监控的反病毒技术。以上两种技术只能查杀已知病毒，对病毒库中不包含的病毒基本没有办法查杀。而基于行为监控的反病毒技术则会监控程序的行为，如果它在执行后进行一些非正规的、可疑的操作，如修改系统的注册表的重要部分，则会被视作病毒病查杀。

​ 那么黑客的免杀手段是针对杀毒软件发展出来的，免杀手段如下：

• 修改特征码，就是修改病毒样本中的一段特有的二进制代码串
• 添加花指令，向病毒程序中添加一些无意义的指令，改变程序特征码的位置。
• 程序加密（加壳），程序加壳后就会变成PE(Portable Execute)文件里的一段数据，在执行加壳文件时会先执行壳，再由壳将已加密的程序解密并还原到内存中。

​ 前两种免杀手段主要针对基于文件扫描的反病毒技术，第3种免杀手段主要针对基于文件扫描的反病毒技术和基于内存扫描的反病毒技术。黑客在使用远程控制被控端时，通常尽量采用反向连接、尽量对通信加密、尽量避免对系统进行修改等方式来躲避检测。

1. msfvenom提供的免杀方法

使用msfvenom生成攻击载荷，命令如下：

┌──(root
声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/388200