如果有人使用VENOM工具绕过反病毒检测,该如何防护?

栏目: Python · 发布时间: 6年前

内容简介:如今,很多恶意软件和Payload都会使用各种加密技术和封装技术来绕过反病毒软件的检测,原因就是AV产品很难去检测到经过加密或加壳的恶意软件(Payload)。今天,我们要学习是如何使用VENOM来生成经过加密的Payload,权当为加固安全保护措施抛砖引玉,未来或许会再出一篇文章来讲一讲如何堵住这个方法。

严正声明:本文仅用于实现安全教育目的,请不要将其用于恶意活动。

前言

如今,很多恶意软件和Payload都会使用各种加密技术和封装技术来绕过反病毒软件的检测,原因就是AV产品很难去检测到经过加密或加壳的恶意软件(Payload)。

今天,我们要学习是如何使用VENOM来生成经过加密的Payload,权当为加固安全保护措施抛砖引玉,未来或许会再出一篇文章来讲一讲如何堵住这个方法。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

概述

根据VENOM的介绍,该脚本会使用MSF venom(Metasploit)来以不同的格式生成Shellcode,比如说c | python | ruby | dll | msi |hta-psh等格式,并将生成的Shellcode注入到一个函数之中(比如说 Python 函数)。

这个Python函数将会在RAM中执行Shellcode,并使用类似gcc、mingw32或Pyinstaller这样的编译 工具 来构建可执行文件,然后开启一个多处理器来处理远程连接(反向 Shell 货Meterpreter会话)。

第一步:

由于该工具并不是Kali自带的工具,所以我们需要在Kali Linux上进行下载和安装。大家可以点击【 下载链接 】直接从Sourceforge网站下载VENOM。

下载并解压之后,大家就可以运行VENOM了。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第二步:

启动工具之后,工具会要求继续处理后续选项。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第三步:

接下来,工具会给你显示代码构建、目标设备、Payload格式和数据输出等选项。

工具提供了20种不同类型的Shellcode构建选项,都列举在下图之中了。我们在本文中,选择使用选项10来进行演示。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

输入10,并按下回车键。

第四步:

在这一步骤,我们需要设置本地主机IP地址,输入本地设备IP地址来监听Payload之后,按下OK键。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

设置好了我们的LHOST之后,工具会要求你设置LPORT,提供你想要设置的LPROT号,按下OK键。

第五步:

VENOM自带了很多默认的msf Payload,我们这里选择使用“windows/meterpreter/reverse_tcp”。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第六步:

输入需要生成的Payload名称,然后点击OK。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第七步:

生成好加密的Payload之后,工具将会把Payload存储在VENOM的文件输出目录中:

root/Desktop/shell/output/gbhackers.hta

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第八步:

在成功生成加密后的Payload之后,我们可以用反病毒产品来检测一下:

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

接下来,我们看看如何使用Metasploit和我们生成的Payload来绕过反病毒产品。

第九步:

我们需要开启Apache服务器来将恶意Payload发送到目标主机中,选择好服务器后点击OK继续。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第十步:

在这一步中,我们需要连接后渗透模块,这里我们可以随意选择一个。由于我需要访问的只有系统信息,所以我选择sysinfo.rc来进行后渗透操作。

这是一个可选操作,所以你甚至可以手动执行这个模块,然后用Metasploit实现绕过。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

第十一步:

最后,我需要用生成的加密Payload在目标主机和我的Windows 7主机之间建立Meterpreter会话。

在启动在会话处理器之前,确保你的Payload已经成功注入到目标主机之中了。我这里使用的URL为 http://192.168.56.103

注意:在开始之前,请检查LPORT和LHOST设置是否正确。

如果有人使用VENOM工具绕过反病毒检测,该如何防护?

最后,我们成功绕过了目标主机的反病毒产品,并获得了目标设备的完整访问权。

* 参考来源: gbhackers ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

众包

众包

杰夫·豪 / 牛文静 / 中信出版社 / 2009-6 / 36.00元

本书是继《长尾理论》之后的重要商业书籍。本书回答了《长尾理论》遗留的一大悬念。在长尾中作者详细阐述了长尾之所以成为可能的一个基础,但是没有详细解读,本书就是对这一悬念的详细回答,是《长尾理论》作者强力推荐的图书,在国际上引起了不小的轰动,“众包”这一概念也成为一个标准术语被商界广泛重视。本书大致分为三个部分,介绍众包的现在、过去和未来,解释了它的缘起、普遍性、力量以及商业上的适用性,通俗易懂,精彩......一起来看看 《众包》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码