遠控免殺專題12--Green-Hat-Suite免殺

0x01 免殺能力一覽表

在這里插入圖片描述
幾點說明:

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。

2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨,所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態查殺能力,數據僅供參考,不足以作為免殺的精確判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。

0x02 Green-Hat-Suite介紹

Green-Hat-Suite是國內大佬Green-m的大作,Green-m大佬在freebuf和自己博客上https://green-m.me/寫了很多免殺相關的文章,開始的幾篇文章里面有一些知識點就是從他那學到的,而且msfvenom命令自動補全腳本也是出自他之手,之前有的知識點寫的不太準備大佬也熱情的給予指正,萬分感謝!

Green-Hat-Suite也是和msf無縫對接的免殺工具,使用ruby開發,可在linux/windows上安裝,使用非常簡單,雖然已經接近兩年沒有更新了,但目前來看免殺效果仍然很不錯。

0x03 安裝Green-Hat-Suite

官方主頁


https://github.com/Green-m/green-hat-suite

1、在kali/ubuntu/debian中安裝

需要安裝mingw-w64、wine、metasploit等,如果之前已經安裝則不需要

從github上clone下來

git clone https://github.com/Green-m/green-hat-suite

安裝依賴程序

apt-get install metasploit-framework 
gem install os   
apt-get install mingw-w64
apt-get install wine# 安裝tdm-gcc
TMP=`mktemp /tmp/XXXXXXXXX.exe` && wget https://sourceforge.net/projects/tdm-gcc/files/latest/download -O $TMP && wine $TMP && rm $TMP

2、windows安裝

從github上clone下來


git clone https://github.com/Green-m/green-hat-suite

在powershell中執行其中的install.ps1,也是安裝ruby、msf、gcc、mingw-w64這些,作者說比較慢,我沒在windows下安裝,如有需要請自行在windows下安裝測試。

0x04 Green-Hat-Suite使用說明

作者提供了一個使用說明

https://github.com/Green-m/green-hat-suite/wiki/Use-green-hat-suite

進入Green-Hat-Suite文件夾,執行ruby greenhat.rb
在這里插入圖片描述
根據提示選擇payload就可以
在這里插入圖片描述
其中有個其他選項的設置,可以參考msf的payload高級選項,在msf中使用advanced即可查看
在這里插入圖片描述
感興趣的可以看看lib目錄下的一些處理過程。
在這里插入圖片描述

0x05 生成后門

先用常規的reverse_tcp生成后門試一下,所有都用默認選項
在這里插入圖片描述
不開殺軟時,可正常上線
在這里插入圖片描述
打開殺軟進行測試,可過火絨的靜態查殺,但行為查殺時360和火絨均能查殺
在這里插入圖片描述
因為Green-Hat-Suite使用了多種方式對shellocde進行處理,所以導致每次生成的shellcode都不同,被查殺的概率也不一樣。

后來試了下其他幾個payload,目前最好的查殺結果是17/71,還有幾次都是在20-30/70范圍內波動,也有個別的查殺率在30-40之間。

0x06 小結

Green-Hat-Suite調用了msfvenom進行隨機編碼生成shellcode,然后Green-Hat-Suite對shellcode進行多重免殺處理混淆,并最終編譯生成不同的exe后門文件。雖然原理不算復雜,但兩年前的作品,至今來說免殺效果仍很不錯。

參考

官方使用教程:https://github.com/Green-m/green-hat-suite/wiki/Use-green-hat-suite

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/380153.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/380153.shtml
英文地址,請注明出處:http://en.pswp.cn/news/380153.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

英語基礎語法(八)-時態

英語基礎語法(八)-時態

英語中,動詞時態的用法是尤其復雜和富于變化的。經常通過動詞詞尾、組動詞等的變化表明動作發生時間的先后順序,即時態。總的來說,英語中的動詞時態分為 三個基本類型: 現在、過去和將來。動詞時態的變化常常伴隨著相應的表示時間…
閱讀更多...
Java PushbackInputStream markSupported()方法與示例

Java PushbackInputStream markSupported()方法與示例

PushbackInputStream類markSupported()方法 (PushbackInputStream Class markSupported() method) markSupported() method is available in java.io package. markSupported()方法在java.io包中可用。 markSupported() method is used to check whether this stream supports …
閱讀更多...
面型對象 (接口與類的區別)

面型對象 (接口與類的區別)

public class Demo4_Interface {public static void main(String[] args) {某女星 clown new 某女星();clown.潛規則();clown.關系();} }/*親爹只有一個,是單繼承;干爹可以有很多個,是多實現;*/ interface 某干爹{public void 關系();public void 潛規…
閱讀更多...
遠控免殺專題 13----zirikatu免殺

遠控免殺專題 13----zirikatu免殺

0x01 免殺能力一覽表 幾點說明: 1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。 2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。 3、由于本機測試時只是安裝了360全…
閱讀更多...
UML 的九種模型圖

UML 的九種模型圖

1. UML的模型圖 UML 的模型圖能夠將被建模的系統的某一個方面的某一部分以圖形的方式表示出來,不同的視圖通過將多個不同的模型圖有機組合在一起就能夠描述系統模型的某方面的特征。UML的模型圖是有模型元素構成的,模型元素以圖標的形式直觀形象的表達…
閱讀更多...
【莫隊】區間眾數(Codeforces Round #716 (Div. 2) D)

【莫隊】區間眾數(Codeforces Round #716 (Div. 2) D)

D. Cut and Stick (賽后補題)借本題學習莫隊算法以及區間眾數的求法 題意:對于整型數組,每次詢問[L,R][L,R][L,R]區間問最少分為多少個子序列,使得每個子序列的眾數xxx的個數cntxcnt_xcntx?不大于 ?len2?\left \l…
閱讀更多...
如何正確使用SqlConnection

如何正確使用SqlConnection

以前曾見過有人這樣寫代碼: public class Service1 : IService1{private SqlConnection conn new SqlConnection();public void Method1(){//do something with conn;}public void Method2(){//do something with conn;}public void Method3(){//do something with…
閱讀更多...
關系代數基本運算_關系代數的基本和附加運算

關系代數基本運算_關系代數的基本和附加運算

關系代數基本運算Definition 定義 Every DBMS must define a query language to enable users to access the data which is stored in the database. Relational Algebra is a procedural query language. It is used to query the database tables in order to access data…
閱讀更多...
遠控免殺專題 14 ---AVIator

遠控免殺專題 14 ---AVIator

0x01 免殺能力一覽表 幾點說明: 1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。 2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。 3、由于本機測試時只是安裝了360全…
閱讀更多...
面型對象 (包package)

面型對象 (包package)

面向對象(package關鍵字的概述及作用) 為什么要有包 將字節碼(.class)進行分類存放 包其實就是文件夾 代碼如下: package beyond.hjj;//在當前運行目錄下創建一個子目錄結構beyond\hjj,在子目錄下存放已經編譯成字節碼文件的clown.class類。 class c…
閱讀更多...
【Web開發】級聯查詢(Ajax/ jQuery/ Servlet)

【Web開發】級聯查詢(Ajax/ jQuery/ Servlet)

實現級聯查詢 共有兩個下拉框&#xff0c;第一級為學院&#xff0c;第二級為學院開設的科目。 實現的功能為&#xff1a;當改變學院的選擇&#xff0c;第二級下拉框需變為對應學院開設的科目內容。 結果預覽&#xff1a; jsp頁面 <% page contentType"text/html;…
閱讀更多...
asp.net treeView綁定

asp.net treeView綁定

這個東西不是什么復雜的東西&#xff0c; 幫著小兄弟寫個Demo, 實現個Binding public partial class _Default : System.Web.UI.Page{ protected void Page_Load(object sender, EventArgs e) { if (!IsPostBack) { Bind(); } } priv…
閱讀更多...
關于TOmcat的一些小小的知識

關于TOmcat的一些小小的知識

web.xml中的url-pattern和form 表單中的action是相同的。form 表單中的action聲明的并不是servlet的名字 例&#xff1a; <servlet> <servlet-name>welcome</servlet-name> <servlet-class>WelcomeYou</servlet-class> </servlet> <ser…
閱讀更多...
Java文件類字符串getAbsolutePath()方法(帶示例)

Java文件類字符串getAbsolutePath()方法(帶示例)

文件類字符串getAbsolutePath() (File Class String getAbsolutePath()) This method is available in package java.io.File.getAbsolutePath(). 軟件包java.io.File.getAbsolutePath()中提供了此方法。 This method is used to return the absolute path of the file object …
閱讀更多...
遠控免殺專題(15)-DKMC免殺

遠控免殺專題(15)-DKMC免殺

0x01 免殺能力一覽表 幾點說明&#xff1a; 1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒&#xff0c;也就是代表了Bypass。 2、為了更好的對比效果&#xff0c;大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。 3、由于本機測試時只是安裝了360全…
閱讀更多...
面向對象(靜態成員內部類的調用)

面向對象(靜態成員內部類的調用)

class beyond{public static void main(String []args){//外部類名.內部類名 對象名 外部類名.內部類對象(new 內部類名)/*Outer.Inner yy Outer.new Inner(); 類里面有個非靜態方法&#xff0c;需要new創建Inner對象;正常的形式是這樣的&#xff0c;但是我們習慣將new放在前…
閱讀更多...
SQL——以面向集合的思維方式來思考

SQL——以面向集合的思維方式來思考

本文來自&#xff1a;http://www.ituring.com.cn/article/details/472 為了以有趣的方式更好地幫助你形成面向集合的思維方式&#xff0c;我將給出自己最喜歡的游戲之一——集合。你可以在線玩這個游戲&#xff0c;網址是www.setgame.com/puzzle/set.htm&#xff0c;每天都會貼…
閱讀更多...
轉載: 統計圖控件NetCharting 和ZedGraph的比較

轉載: 統計圖控件NetCharting 和ZedGraph的比較

原文出處&#xff1a;http://hi.baidu.com/goga/blog/item/07b3024f61b8cd35aec3ab47.html最近考察了幾個統計圖表控件包&#xff0c;開源的有ZedGraph&#xff0c;Nplot等&#xff0c;但是相比之下還是ZedGraph強大&#xff0c;方便一些&#xff0c;其他的感覺還是半成品。收費…
閱讀更多...
【匯編語言】狀態標志符(CF/OF/SF/ZF)在運算(ADD/SUB/ADC/SBB)過程中的響應變化

【匯編語言】狀態標志符(CF/OF/SF/ZF)在運算(ADD/SUB/ADC/SBB)過程中的響應變化

目錄各類運算時狀態標志的響應變化標志符在各種ADD運算下的響應情況標志符在各種SUB運算下的響應情況借助標志符實現多位數之間運算ADC(add with carry)帶進位加法指令SBB(subtract with borrow)帶借位減法指令各類運算時狀態標志的響應變化 標志符具體含義CF&#xff08;Carr…
閱讀更多...
Java集合unmodifiableSortedSet()方法(帶示例)

Java集合unmodifiableSortedSet()方法(帶示例)

集合類unmodifiableSortedSet()方法 (Collections Class unmodifiableSortedSet() method) unmodifiableSortedSet() method is available in java.util package. unmodifiableSortedSet()方法在java.util包中可用。 unmodifiableSortedSet() method is used to get a non-modi…
閱讀更多...
最新文章

Copyright @ 2022~2023