前言
欢迎来到我的博客
个人主页:北岭敲键盘的荒漠猫-CSDN博客
本文主要整理webshell免杀的一些基础思路
入门级,不是很深入,主要是整理相关概念
免杀对象
1.各类杀毒软件
类似360,火绒等,查杀己方webshell的软件。
2.各类流量捕捉识别系统
有些脚本系统会识别我们的工具,能够识别出我们用的是冰蝎,哥斯拉,蚁剑等,我们免杀也需要应对这类系统。
表面代码查杀
描述
指我们的webshell刚放到目标机上,就直接被查杀。即使我们连接都没连接什么都没干。
现象演示
原本杀软是不杀webshell的,后来越来越严格开始杀webshell了。
我们生成一个哥斯拉的shell。
现在我们开启安装对应杀软的虚拟机,把shell放进去进行测试。
火绒
360极速版
没直接杀掉,怕误杀,但是扫描,或者连接会报毒。
360正式版
直接报毒
微软自带杀毒
直接报毒
弱鸡免杀工具免杀
直接用了狐狸工具箱里的,
把webshell放到他的文件夹中。
运行脚本
点选项,生成免杀shell。
现在再放到360中测试
成功过360.
连接试试
cookie也要配置好
成功绕360连接
行为查杀
描述
虽然有时候webshell躲过了目标的查杀,但是他的功能都是被限制的。如果某个软件做出了某些正常软件不会做的行为,杀软也会阻止这些软件。
现象演示
执行dir正常执行
执行net user,报毒
所以也需要我们执行命令的时候尽量避免一些敏感的命令。
工具查杀
描述
1.对方有流量捕捉识别系统,能专项识别某种工具,而我们使用未魔改的对应工具就会直接被发现。
2.老牌工具相对来说执行命令困难一点,像上面的行为查杀。用一些老工具淘汰的工具可能限制会更多
对策
1.使用小众的未公开的工具
2.对主流工具进行魔改(修改指纹,修改加密)
3.尽量用新工具。