Shellter手动模式和自动模式的免杀对比

目录导航

在上一篇文章中，我们简要回顾了现代防病毒软件的工作原理，并展示了 shellter 实用程序如何在自动模式下工作。该实用程序的结果很有趣，但在实际渗透测试中几乎不适用。显然，需要改变。了解了杀毒软件的原理（行为分析、签名等我们在上一篇文章中讨论过的理论），让我们尝试改进shellter的结果。

准备手动配置shellter

首先，我们使用众所周知的msfvenom自己生成payload。我们生成了一个具有相同功能的payload，reverse-shell。与在自动模式下一样，在我们的服务器所在的103.86.96.23（地址是随机选择的）上打开到端口 443 的连接。我们使用shikata ga nai编码器对 payload 进行编码，重复编码 10 次。另外：exitfunc = thread，这将允许我们的进程在安装程序文件完成时继续工作（如果我们计划保存带有“干净”文件的功能，这是一个强制性选项）。

该文件比未编码的文件稍大，但我们希望某些防病毒软件没有这样的签名。启动 shellter 并选择手动模式。

启动shellter：回答程序问题

shellter 立即开始提问。第一个是：是否应该包含动态线程上下文信息集合？我们回答“不”。否则，此操作将减少可用注入点的数量。仅当您要仔细跟踪大文件时才启用此选项。该选项包括一个额外的过滤阶段。

然后我们指定shellter 必须跟踪的指令数量，以便进入下一阶段。最好在指定数量时留有余量：在任何时候都可以中断跟踪并进行下一阶段的工作。处理器能力很重要，我们专注于它。

我们打开自修改代码的检查：否则，我们可能会遇到无法正常工作的漏洞。当然，shellter 无论如何都会做这样的检查：这个问题涉及检测在刷新执行日志之前将自身修改回原始代码的代码。这样的检查会稍微减慢对入口点的搜索，但不会有什么坏处。如果您确定源文件中缺少此功能，请随时禁用扫描。

是否应该跟踪所有线程？取决于处理能力。我们回答“否”以加快搜索速度。我们指定不实时显示跟踪，因为这也会减慢跟踪过程。

跟踪后过滤和解码器混淆

跟踪后，开始过滤结果的第一阶段。我们开启“隐藏”模式，即我们保存现有的功能，然后指定“自定义 payload ”。当然，它不是反射 DLL。请另外混淆shellter用于解包代码的解码器，并使用我们自己的序列进行编码。我们用任何简单的脚本生成这个序列。粗略的python示例：

import random random.seed() line=" "
for i in range(0,300) : r=random.randrange(4)
if r==0 and line[-1]!="x": line=line+"x"
elif r==1 and line[-1]!="!": line=line+"!"
elif r==2 and line[-1]!="-":
line=line+"+"
elif r==3 and line[-1]!="+": line=line+"-"

期望序列是长且唯一的。需要进行混淆，以防止杀毒软件识别我们之前使用的熟悉的反向 shell 模式（即使它是在创建时编码的，但额外的保证不会受到伤害）。