20145325張梓靖 《網絡對抗技術》 免殺原理與實踐
20145325張梓靖 《網絡對抗技術》 免殺原理與實踐
實驗內容
- 使用msf編碼器,veil-evasion,以及利用shellcode編程等免殺工具,來驗證各類免殺方式的免殺強度
- 經過組合各類技術實現惡意代碼免殺,並運行在另外一部機子上進行測試
基礎問題回答
殺軟是如何檢測出惡意代碼的?
經過特徵碼:對已存在的流行代碼特徵的提取與比對
經過行爲:是否有更改註冊表行爲、是否有設置自啓動、是否有修改權限等等shell免殺是作什麼?
植入惡意代碼,防止被殺毒軟件檢測出來,並能成功控制被植入機編程免殺的基本方法有哪些?
對惡意代碼進行加殼、用其餘語言或編譯器進行再編譯,利用shellcode進行編碼,減小對系統的修改,多在內存裏進行操做,多使用反彈式的鏈接安全
實驗總結與體會
在本次實驗中,主要是對惡意代碼進行免殺操做。能夠看出,對於如今的殺毒軟件來講,着重的是惡意代碼的特徵值與行爲,一旦咱們給出的惡意代碼避免了被查殺的特徵值、減小了對系統的一些行爲,那麼殺毒軟件將沒法判斷此代碼是病毒;更別說一些惡意代碼捆綁到了有用的應用軟件上,更甚是本身創造的一個新病毒。因此,對於殺毒軟件的應用上,咱們不能盲目的絕對相信,也仍是須要本身去多積累些防毒殺毒的知識與方法,儘可能作到有毒可知,有毒可刪。
離實戰還缺的技術或步驟
雖然說在實驗中咱們作出的不少惡意代碼都能避免被殺毒軟件的查殺,可是殺毒軟件也在不斷更新、擴充病毒庫,因此若是想真正的進行實戰的話,最好的方法就是本身去研究各個軟件的源代碼,尋找到漏洞,而且可以寫出攻擊該漏洞的惡意代碼,同時還須要瞭解計算機是如何運做的、殺毒軟件是如何查殺的方面的,來進一步的避免本身生成的惡意代碼在半道上被「截獲」。
實踐過程記錄
直接使用Msfvenom來生成惡意代碼,並使用shikata_ga_nai對其再進行編碼
- 靶機:win7 殺毒軟件:電腦管家 殺毒範圍:全部盤
有一個風險,但它和咱們剛生成的惡意代碼無關ruby
- 靶機:win7 殺毒軟件:電腦管家 殺毒範圍:存儲剛生成的惡意代碼的F盤
存在10個風險,且咱們生成的惡意代碼被查出網絡
爲何殺毒範圍大了,不少病毒就查不出來了?說明這款殺毒軟件可能有它的侷限性,大範圍的查找可能精確度、效率不高,因此之後仍是多多一個盤一個盤的單獨殺毒吧tcp
- 靶機:win7 殺毒軟件:2345安全衛士 殺毒範圍:存儲剛生成的惡意代碼的F盤
查出惡意代碼工具
一樣繼續使用Msfvenom,但使用shikata_ga_nai對其再進行10次的編碼
- 靶機:win7 殺毒軟件:電腦管家
當把生成的可執行文件一傳到win7,電腦管家就自動對其進行檢測並刪除掉了測試
使用Veil-Evasion生成免殺的可執行代碼
- 這裏選擇的是用ruby進行編譯的meterpreter的rev_tcp
一樣的,一傳送到win7上,就被電腦管家檢測出並刪除了編碼
使用Msfvenom直接生成shellcode代碼,並在靶機上,利用此shellcode進行編程,生成可執行代碼
- 靶機:win7 殺毒軟件:電腦管家 殺毒範圍:存儲剛生成的可執行文件的E盤
未檢測出惡意代碼code
- 靶機:win7 殺毒軟件:2345安全衛士 殺毒範圍:存儲剛生成的可執行文件的E盤
未檢測出惡意代碼
- 嘗試運行該可執行文件,查看是否能在msfconsole中進行鏈接,並控制靶機
成功控制靶機
- 在Virscan檢測該可執行軟件的免殺強度
有12%的殺毒軟件檢測到該可執行文件爲病毒,說明使用編程方式的病毒免殺強度仍是挺高的
使用Msfvenom生成被shikata_ga_nai編譯過的shellcode代碼,並在靶機上,利用此shellcode進行編程,生成可執行代碼
- 靶機:win7 殺毒軟件:電腦管家、2345安全衛士 殺毒範圍:存儲剛生成的可執行文件的E盤
未檢測出惡意代碼
- 在Virscan檢測該可執行軟件的免殺強度
此次只有5%的殺毒軟件檢測出來了,說明對shellcode進行初次的再編譯對於免殺來講仍是頗有必要的
使用Msfvenom生成被shikata_ga_nai編譯過10次的shellcode代碼,並在靶機上,利用此shellcode進行編程,生成可執行代碼
- 靶機:win7 殺毒軟件:電腦管家、2345安全衛士 殺毒範圍:存儲剛生成的可執行文件的E盤
未檢測出惡意代碼
- 在Virscan檢測該可執行軟件的免殺強度
同只用shikata_ga_nai編譯一次的免殺效果是同樣,那就可能能夠說,不管咱們用同一個編譯器對shellcodea編譯了多少次,只要殺毒軟件認定該編譯器生成的文件就是有問題,那麼最終都會被查殺出來
相關文章
- 1. 20145325張梓靖 《網絡對抗技術》 後門原理與實踐
- 2. 20145325張梓靖 《網絡對抗技術》 惡意代碼分析
- 3. 20145325張梓靖 《網絡對抗技術》 Web基礎
- 4. 20145325張梓靖 《網絡對抗技術》 MSF基礎應用
- 5. 20145325張梓靖 《網絡對抗技術》 網絡欺詐技術防範
- 6. 20145325張梓靖 《網絡對抗技術》 Web安全基礎實踐
- 7. 20145325張梓靖 《網絡對抗技術》 信息蒐集與漏洞掃描
- 8. 20145325張梓靖 《網絡對抗技術》 PC平臺逆向破解
- 9. 20145228《網絡對抗技術》免殺原理與實踐
- 10. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐
- 更多相關文章...
- • 網站主機 技術 - 網站主機教程
- • XML 相關技術 - XML 教程
- • ☆技術問答集錦(13)Java Instrument原理
- • Java Agent入門實戰(三)-JVM Attach原理與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 20145325張梓靖 《網絡對抗技術》 後門原理與實踐
- 2. 20145325張梓靖 《網絡對抗技術》 惡意代碼分析
- 3. 20145325張梓靖 《網絡對抗技術》 Web基礎
- 4. 20145325張梓靖 《網絡對抗技術》 MSF基礎應用
- 5. 20145325張梓靖 《網絡對抗技術》 網絡欺詐技術防範
- 6. 20145325張梓靖 《網絡對抗技術》 Web安全基礎實踐
- 7. 20145325張梓靖 《網絡對抗技術》 信息蒐集與漏洞掃描
- 8. 20145325張梓靖 《網絡對抗技術》 PC平臺逆向破解
- 9. 20145228《網絡對抗技術》免殺原理與實踐
- 10. 20155207 《網絡對抗技術》EXP3 免殺原理與實踐