20145307陈俊达《网络对抗》Exp3 免杀原理与实践
20145307陈俊达《网络对抗》Exp3 免杀原理与实践
基础问题回答
杀软是如何检测出恶意代码的?
恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。
通过对恶意代码的观察、研究,有一些行为是恶意代码的共同行为,而且比较特殊。所以当一个程序在运行时,杀毒软件会监视其行为,如果发现了这种特殊的行为,则会把它当成恶意软件。
免杀是做什么?
我感觉就是绕过防火墙 杀毒软件进行攻击啊 获取靶机的权限就好了
免杀的基本方法有哪些?
加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来
加花指令:就是加一段垃圾代码,但是并不影响程序的正常执行,加了花指令后,使一些杀毒软件无法正确识别木马程序
再编译:如果有源代码可以使用其他语言重新编写再编译,或者利用已有的shellcode构造payload重新编译生成;
修改行为:尽量少做能被杀毒软件直接检测到的敏感行为,可以使用反弹式连接,或者减少对系统注册表之类的修改。
实践内容
msf生成的后门文件放在virscan.org中进行扫描,扫描结果如下:
哇 效果不是很好 好多软件都发现了 不行不行继续搞事 这次循环十次试一次下将生成的文件放到网站上扫描一下:
可以发现无论编码多少次都是一样,所以想要利用编码次数来达到免杀效果显然是不行的。
使用veil-evasion生成后门程序的检测
我自己装的kali 换了一万个虚拟机终于装好了veil,在此提一下 先升级到kali4.9内核,然后千万别用git clone下载,那个下的有问题,千万别用!改一下源用大连东软的就行,然后apt-get安装 之后升级一下settings.py文件就可以使用新版的veil了
放到网站上扫描一下:
比之前用msf生成的文件报毒率要更低,但是查出来了:
利用shellcode编写后门程序的检测
先使用msf生成一个C语言格式的shellcode,编译运行后,在kali上测试其是否可用:
将shellcode逆序
将shellcode先进行逆序操作得到另外一个数组,然后之后再把它逆序回来,重新编写代码,编译运行,放到网上的结果,比之前的免杀率要稍微高一些:
将shellcode与字母进行异或
将shellcode与字母进行异或,改变了其特征码
将shellcode逆序和异或结合
将异或与逆序相结合,编写代码运行
离实战还缺些什么技术或步骤
shellcode还是比veil要强很多的,veil毕竟是工具,机器是死的,人才是活的,构造出好的shellcode才是王道啊
实验总结与体会
体会啊!我把360卸了,感觉他没啥用,嘻嘻,留一个windows defender就行了,保持漏洞攻击防止DDay攻击,av软件我是真的怕了,不用了,占内存
转载于:https://www.cnblogs.com/Jclemo/p/6624677.html
20145307陈俊达《网络对抗》Exp3 免杀原理与实践相关推荐
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
- 网络对抗 Exp3 免杀原理与实践 20154311 王卓然
Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件. ...
- 20145326蔡馨熠《网络对抗》——免杀原理与实践
20145326蔡馨熠<网络对抗>--免杀原理与实践 报告内容 1.理解免杀技术原理. 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti- ...
- 20145315何佳蕾《网络对抗》免杀原理与实践
实践内容: (1)理解免杀技术原理 概念:免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为&q ...
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shell ...
- 2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践 免杀的概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-Ant ...
最新文章
- 327 - Evaluating Simple C Expressions
- 他是20世纪最伟大的发明家之一,却因竞争对手迫害,郁郁而终
- 获取父页面URL的参数对应值及左对齐字符串
- hdu3786 Floyd或搜索 水题
- 润乾集算报表呈现输出之表头重复
- MySQL高级 - 复制 - 集群搭建
- 数据结构---BF字符串模式匹配
- python中的文件读取注意事项
- 从java读取Excel继续说大道至简 .
- 持续集成持续部署持续交付_自动持续开发和交付混合移动应用程序
- android 图片剪切组件,Android 图片裁剪库 uCrop
- Spring中@Autowired注解用法
- docker rabbitmq_RabbitMQ消息中间件快速入门
- django python版本选择
- IntelliJ IDEA之Java开发常规项目配置介绍
- redis 集群scan
- 常见ERP软件简单介绍与个人评价
- APP游戏运营:如何运用数据来指导手游运营
- java pfx 和cer_pfx证书和CER证书
- 浪漫--》“慢”+“浪”