20145308 《网络对抗》 MAL_免杀原理及实践 学习总结
20145308 《网络对抗》 MAL_免杀原理及实践 学习总结
实践内容
- (1)理解免杀技术原理
- (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
- (3)通过组合应用各种技术实现恶意代码免杀
(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
基础问题回答
- (1)杀软是如何检测出恶意代码的?
- 根据特征码进行检测(静态)
- 启发式(模糊特征点、行为 )
根据行为进行检测
- (2)免杀是做什么?
免杀就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),让恶意代码不被杀毒软件查杀
- (3)免杀的基本方法有哪些?
- 改变特征码(加壳、编码)
- 改变行为(通讯方式、操作模式)
- 利用现有后门软件
- 使用漏洞应用作为后门
- 社工类攻击,诱导关闭杀软
手工打造恶意软件
实验总结与体会
本次实验在上次实验的基础上实现了免杀,尝试了msf编码、Veil-Evasion以及半手工等方式制作免杀程序,最后成功实现了免杀,技术很简单,所以又害怕了,一定要多打补丁多更新杀毒软件
离实战还缺些什么技术或步骤
虽然能够免杀,但是并没有植入其他电脑的方式,比如没有自己复制的功能或者利用系统或协议漏洞进行攻击的步骤
实践过程记录
免杀效果评价
- 首先查询攻击机和靶机的IP地址,kali攻击机192.168.44.128,Win7靶机192.168.1.108
根据攻击机的IP用msfvenom直接生成meterpreter可执行文件
上传到VirScan进行扫描,39个杀软中有21个显示它是病毒,可以看出这个根本不能免杀
这时要对它进行伪装,使用编码器进行编码,看杀软查杀率能不能降低
还是上传到VirScan上去检测一下,还是39个杀软中有21个显示它是病毒,根本没有变化
编码10次,看看能不能降低查杀率
上传到VirScan上去检测,还是39个杀软中有21个显示它是病毒,还是根本没有变化
通过上面的实验可以看出现在编码的方式没有免杀的功能,还是要变换方式进行免杀的改造
Veil-Evasion生成可执行文件
打开Veil-Evasion
生成可执行文件,过程此处省略生成命令
上传到VirScan,39个杀软中有10个显示它是病毒,比前面的实验查杀率降低了很多
C语言调用Shellcode
- 半手工打造一个恶意软件
生成一个c语言格式的Shellcode数组,替换代码中的对应部分,并拷贝到VS中编译运行
上传到VirScan,39个杀软中有4个显示它是病毒,比前面的实验查杀率又降低了很多
逆序修改shellcode
用函数求shellcode数组的逆序
- 全部替换
ffffff
- 添加求逆的函数部分
提交VirScan查杀,39个杀软中有1个显示它是病毒,比前面的实验查杀率又降低了很多
实战(win8+360安全卫士)
用杀毒软件检测,通过了查杀
Kali开启监听
- Windows开启程序,回连Kali
成功获得shell
转载于:https://www.cnblogs.com/yg961022/p/6601628.html
20145308 《网络对抗》 MAL_免杀原理及实践 学习总结相关推荐
- 20145326蔡馨熠《网络对抗》——免杀原理与实践
20145326蔡馨熠<网络对抗>--免杀原理与实践 报告内容 1.理解免杀技术原理. 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti- ...
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
- 网络对抗 Exp3 免杀原理与实践 20154311 王卓然
Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件. ...
- 20145315何佳蕾《网络对抗》免杀原理与实践
实践内容: (1)理解免杀技术原理 概念:免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为&q ...
- 《网络攻防》 免杀原理与实践
20145224陈颢文 <网络攻防> 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征码: 基于行为: 启发式. 免杀是做什么? 避免恶意代码被杀毒软件扫描出来被删除, ...
- Exp3:MAL_免杀原理与实践
目录 1.实验环境 2.实践内容 2.1 msfvenom 2.1.1 msfvenom直接生成 2.1.2 msfvenom 编码一次 2.1.3 msfvenom 编码多次 2.2 Veil_ev ...
- 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践
2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf ...
- 20145202马超《网络对抗》免杀
http://www.cnblogs.com/lxm20145215----/p/6602938.html 基础问题回答 (1)杀软是如何检测出恶意代码的? 检查她的特征码 特征行为 也可以检测片面的 ...
- 20145221高其_免杀原理与实践
20145221高其_免杀原理与实践 免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻 ...
最新文章
- 计算机数据库三级应用题,计算机等级-数据库三级
- facebook对话链接_并非里程碑! Facebook的100种语言互译模型夸大宣传遭质疑
- [HDU517] 小奇的集合
- spark的流失计算模型_使用spark对sparkify的流失预测
- kotlin编写后台_在Kotlin编写图书馆的提示
- 去除字符串最后一位的几种方法
- 2015计算机考研重点,2015考研计算机复习:数据结构重点归纳_跨考网
- 技术随笔八——仰望夜空 仰望Git
- 我33岁,从国企主管零基础转型大数据开发,年薪涨了20W
- oracle12c集群安装—grid安装
- excel 度分秒转度
- 解决使用python-igraph绘制网络图时报错AttributeError: plotting not available
- php正则抓取网页指定内容,php正则匹配获取指定url网页页面超级链接地址与抓取指定页面内容方法...
- 什么是物联卡,物联卡注意事项
- MacOS安装之:此Apple ID 未用于 App Store
- 反种族主义算法的偏见与警务简介
- ios图像和图形最佳实践(三)
- 刚高考完有些迷茫不知道做些什么?谈一谈我的看法
- 打印机后台服务程序没有运行的解决办法
- STM32——ADC基本原理