奇虎360利用 ldquo 后门 rdquo 拿走了用户什么？,奇虎360现状如何

时间：民间故事提交错误

网络安全工程师：小白如何使用Kali Linux生成木马后门并实现免沙

1.背景介绍

msfvenom是msfpayload和msfencode的结合体，可利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线，在黑客圈子，这款工具略有名气。

本次教程是Msfvenom木马生成技巧篇的最后一个教程了，本系列教程就此完结，大家且看且珍惜，不过我们后续还会出新系列的教程，敬请期待！这次教程的主题是利用msfvenom生成木马并实现免杀实战。

2.准备工作

2.1 一个安装好kali linux系统的虚拟机

2.2 一给安装好windows系统的物理机

2.3 整装待发的小白一个

3.免杀实战步骤

3.0 前言

之前我们的教程有讲过一些简单的免杀技巧，但并没有深入，免杀是一门非常深的学问，因为免杀的本质是和网络安全专家斗智，单独将其拿出来讲，可以不停的讲下去了，因为安全人员会不断升级防护系统，而你若想让木马后门能够持久的实现免杀，就必须与时俱进，琢磨安全软件防护系统的漏洞，加以利用，创新免杀的方法。总的来说，这门技术就是人与人之间的博弈。

3.1生成绑定正常软件的免杀木马

首先我们在百度上下载一个正常的软件，我们就下载一个普通的计算器calc.exe和木马绑定在一起，这样可以大大减少用户的疑虑，觉得这只是个简单又普通的计算器，从而提高我们木马攻击的成功率。

生成木马的命令如下图所示，我们生成的木马是针对windows操作系统，x86架构的木马，木马使用的免杀编码模块是x86/shikata_ga_nai，这个编码模块的评价是极好的，所以我们使用它来做免杀，成功免杀的几率比较高，编码次数为五次，五次不多不少，编码次数适当也同样可以提高木马实现免杀的可能性。

木马生成之后，我们打开kali系统的主文件夹，找到它并将其拖拽到windows操作系统的物理机桌面上。

3.2测试是否成功实现免杀

奇虎360利用 ldquo 后门 rdquo 拿走了用户什么？,奇虎360现状如何

下面我们就用国内比较常用的杀毒软件奇虎360来测试一下刚刚生成的木马后门是否能够成功实现免杀，众所周知，360这款杀毒软件是比较好的，它的研发公司也是汇聚了众多的安全领域的精英，所以我们的木马如果能够通过360的查杀，那就证明木马后门的免杀是做得不错的。

我们打开360，再双击执行木马后门“calc2.exe”，360报毒并且将木马后门删除，原文件也备份到了病毒隔离区，看来没有成功实现360免杀。

虽然失败了，但是我们会就此放弃吗？当然不会，我们给木马后门加点升级免杀能力，使用“upx -5 calc2.exe”命令，这条命令的作用是对木马后门进行加壳操作，加壳后木马后门的免杀能力会更强。

出了点小意外，加壳后木马后门的图标变了，不是原来的小计算器图标，但是没关系，我们的主要目的是测试木马能否成功免杀，我们将升级版的木马后门拖拽到windows系统物理机桌面上，双击运行，360并没有报毒，看来加壳后是成功实现360免杀了。

仅仅只是实现了360免杀，我们还不够满意，接着我们借助一个专门用来检验文件安全性的网站——多引擎在线病毒扫描网，这个网站当前支持47款杀毒引擎，利用这个网站，我们看看木马后门能够实现多少个杀毒引擎的免杀。

网址：https://www.virscan.org/language/zh-cn/

网站使用方法：

点击浏览

选中木马后门

点击扫描一下

文件正在扫描中

扫描结果出来了，部分截图显示大部分杀毒引擎都没有发现病毒，其中奇虎360也没有。

酷派手机后门遭曝光，安全厂商为其获注资“献大礼”

作者书航-

12 月 16 日奇虎 360 入股酷派，合作做大神手机；两天后的 12 月 18 日，有关酷派的一个坏消息就浮出水面。帕洛阿尔托网络（Palo Alto Networks）披露了酷派设备当中的后门程序 CoolReaper，当天这个消息就在彭博和华尔街日报等国际主流媒体当中蔓延开来。

CoolReaper 功能：

奇虎360利用 ldquo 后门 rdquo 拿走了用户什么？,奇虎360现状如何

未经用户同意或未通知客户的情况下，进行下载、安装或激活任一安卓应用程序
清除用户数据，卸载现有应用程序或使系统应用程序失效
通知用户一个虚假的设备更新信息，安装不需要的应用程序
随意给手机发送或插入短信或彩信
拨打任意电话号码
上传设备信息、位置、应用程序的使用信息、通话和短信历史记录到酷派服务器

19 日，国内的知名安全网站乌云网翻译了帕洛阿尔托网络的报告文本，使得中国用户可以查看报告的中文版。这个报告本身也引用了之前乌云网的用户侦测到的结果，当时他们善意的将这一厂商故意而为的推送手段称为“漏洞”。当时酷派认领了这个“漏洞”，并表示正在排查，此后并无下文。

前后时间跨度长达一年的漏洞追踪报告选择这一时间点发布，是非常有杀伤力的。经历一天的发酵之后，酷派在香港的股价连跌，帕洛阿尔托网络在纽交所上市的股票则有上涨，《巴伦周刊》预计其未来一段时间内将上涨最高 15%。奇虎 360 仍在消化对酷派的融资消息，股价微涨。

但我们不清楚，正好切中酷派获注资的时间点，是仅仅是帕洛阿尔托网络一家有意为之，还是有人提前向他们通报了消息，并且有可能进一步向其提供构成报告的关键证据。这都是有可能的。此前曾经有过一些国外安全机构收到国内防病毒厂商的“爆料”，它们的研究结果又成为国内厂商互掐的“铁证”的例子。

在听说这件事情之后，国内大多数业内人士的反应都是，这种事情是见怪不怪的。因为在国内几乎任何一个手机品牌上，可能都安装有这种类似的后门程序，并且总是会出现这种奇形怪状的推送。只有当一家具有全球影响力的西方安全公司也关注此事，才能够引起全球舆论的注意。

酷派也因此不得不做出回应。其回应写到：

报告中所谓的 COOLREAPER 程序实为酷派应用商店的支撑服务（DMP，Device Management Package），用途是为了给用户推送最新的软件版本、分析发现终端上的恶意软件并向用户预警、提示卸载，其目的是为了给用户提供更好更安全的体验并保护用户的权益。事实上，为持续提升用户体验，所有手机厂家都有配合 OTA 升级的模块，用来给手机升级版本、修补软件、禁止或卸载不稳定模块。

由于我们管理的疏忽，这部分软件被不恰当的用于给用户推送软件升级通知和促销广告，在此，我们首先向所有用户表示诚挚的歉意。知悉此事后，我们第一时间在内部进行了相应的整顿和处罚，并以最快的速度通过 OTA 关闭相应权限，保证今后未经用户许可不再向用户推送类似通知和广告。

帕洛阿尔托网络的英文名缩写为 PAN，所以获得了“平底锅”的绰号。PAN 的产品主要客户为 IDC 和大中型企业，其工程师团队实力强大，拥有状态检测、入侵检测等多项技术专利。通过向微软、Adobe 等厂商独立报告漏洞，PAN 也提升了其在安全行业的声誉。

实际上，PAN 中不少黑客精英出自中国。中国安全技术人才长期以来大量流出国外，直到最近数年国内互联网公司愈发重视安全、大幅提高技术人才待遇之后才有所缓解。其中出乎很多人意料的是，短短五年时间，奇虎 360 已经成为全世界报告微软漏洞数量最多的安全软件公司，超越了赛门铁克、McAfee、卡巴斯基等一些老牌巨头。

选择关键的时间点披露信息比较容易带来轰动性的效应，也能够给握有关键信息的对手公司带来最大利益。现在国内有一些公司已经开始学习这种招数，像是我们之前所报道过的，网易选择陌陌上市缄默期披露关键事件。顺带一提，陌陌的股价自从开市之后涨了一点，现在这几天下跌的很厉害。

上市首日，陌陌收报 17.02 美元，较发行价 13.50 美元上涨 26.07%。全天股价最低为 13.80 美元，最高上触 17.48 美元。但全天成交量为 1797.10 万股，意味着新发行的股票全部换了一遍手。上市至今，该股一路阴跌，接盘的散户全部被套。上市第六日，陌陌股价继续下探，当天收报 8.72%，收报 12.56 美元，已远低于其发行价 13.50 美元，意味着没跑掉的初级市场的投资者已全部被套牢。