@Allure
2年前 提问
1个回答
渗透测试免杀姿势有哪些
Simon
2年前
渗透测试免杀姿势有以下这些:
源码免杀:在有源码的情况下,可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等方式来实现免杀。
无源码免杀:在源码不好修改需要对exe进行免杀时,可以加资源、替换资源、加壳、加签名、PE优化、增加节数据等等。
powershell免杀:因为有些工具有powershell版或者使用powershell可以加载,所以对powershell的脚本免杀也是一种方式,但是这种免杀方式要求所使用的工具具有powershell版本才行。
加载器分离免杀:加载器就是利用了ShellCode和PE分离的方式来达到免杀的效果,在远控免杀专题中介绍过不少很好用的加载器,不过很多只能加载基于RAW格式或固定格式的shellcode,对exe程序就无能无力了。例如可以将exe转换成bin文件即可进行加载,没有格式限制。
白名单免杀:白名单主要是使用了rundll32、msbuild、mshta、cscript等多个白名单程序来加载嵌入了mimikatz的jscript脚本,这种方式比较常见。