20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛《网络对抗》——免杀原理与实践

问题回答

1、杀软是如何检测出恶意代码的?

一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测

2、免杀是做什么?

让病毒不被杀毒软件kill掉

3、免杀的基本方法有哪些?

a)可以用这次实验所涉及的改变特征码

b)加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,效果其实不好

实践过程

一、使用msf生成后门程序的检测

1、用上节课所讲的msf生成一个后门

2、到相应网站上查一下,看下结果

3、编码之后看一下,发现还是一样

4、编码十次,结果还一样

二、使用veil-evasion生成后门程序的检测

1、使用veil-evasion

2、上网查杀一下

3、报错率低了,但是实质上没什么变化

三、利用shellcode编写后门程序的检测

1、使用msf生成一个C格式的shellcode

2、生成恶意代码,并上网扫描一下

3、用上个实验的方法攻击一波

4、最关键的部分——杀毒软件没杀出来这个后门,实验成功,实现了免杀

思考:离实战还缺些什么技术或步骤

这次实验解决掉了上次博客所谈到的后门在进入目标主机时被kill的问题,ok,那么还有一个问题是你怎么把这个后门植入目标主机?并让他自动运行起来和你的虚拟机建立起有效的连接,让你能够对目标主机进行相应的操作和控制?

实验体会

最有感触的一点是百度杀毒真的是弱爆了,我准备换360了,看着大家的360那么坚挺感觉我的电脑不堪一击啊(就说电脑最近为什么这么慢。。。)

老师给的网站很高大上啊,以后电脑上有可疑的文件我要都拿上去扫一扫

后门还是自己做的靠谱,软件自动生成的太次了,没有实际操作性

免杀最后一步做出来还是很激动的,但是想想我的电脑里可能同样有别人的后门不由心头一颤。。。

时间: 2024-10-13 02:21:45

20145331魏澍琛《网络对抗》——免杀原理与实践的相关文章

20145331魏澍琛《网络对抗》Exp2 后门原理与实践

20145331魏澍琛<网络对抗>Exp2 后门原理与实践 基础问题回答 (1)例举你能想到的一个后门进入到你系统中的可能方式? 上网时候弹出一个广告说你中奖了,或者你可以贷款10万元之类的,你一激动一点进去后门就进入你的系统了. (2)例举你知道的后门如何启动起来(win及linux)的方式? 比如下载一个游戏,下下来你会发现除了游戏快捷方式还有什么游戏大厅.游戏加速,或者什么最新的网页游戏(传奇狂暴版),你一好奇一点进去后门就启动了. (3)Meterpreter有哪些给你映像深刻的功能?

20145331魏澍琛《网络对抗》Exp8 Web基础

20145331魏澍琛<网络对抗>Exp8 Web基础 实践内容: 1.简单的web前端页面(HTML.CSS等) 2.简单的web后台数据处理(PHP) 3.Mysql数据库 4.一个简单的web登陆页面例子 5.SQL注入.XSS攻击 Web前端:HTML基础 1.先将apache的端口号设为80(上节已经设置好了),接着结束掉占用80端口的进程,再启动apache. 2.在/var/www/html目录下创建20145331wsc.html文件,即前端文件. 附:检查第一步是否成功只需在

20145331魏澍琛 《网络对抗技术》 PC平台逆向破解

20145331魏澍琛 <网络对抗技术> PC平台逆向破解 学习任务 1.shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址. 2.Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击. 注入Shellcode并执行 1.设置环境 2.以 anyt

20145309《网络对抗技术》免杀原理与实践

20145309<网络对抗技术>免杀原理与实践 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 根据特征来检测:对已存在的流行代码特征的提取与比对根据行为来检测:是否有更改注册表行为.是否有设置自启动.是否有修改权限等等 (2)免杀是做什么? 使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀. (3)免杀的基本方法有哪些? 加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,所以加这些壳还不如不加:加花指令:就是加一段垃圾代码,但是并不影响程序的正

20145239杜文超《网络对抗》- 免杀原理与实践

<网络对抗>- 免杀原理与实践 基础问题回答 (1)杀软是如何检测出恶意代码的? 根据搜集来的最全的.最新的特征码库,检测程序有没有异常或者可疑的行为. (2)免杀是做什么? 利用一些手段,让你的的后门不被AV软件发现. (3)免杀的基本方法有哪些? 加壳.用其他语言进行重写再编译. 使用反弹式连接. 自己手工编一个. 实践总结与体会 这次的免杀实验做得非常顺利,每一个步骤基本上都一次成功,虽然这正是我所希望的但也有不好就是万一下次遇到问题可能不会解决,毕竟遇到问题.解决问题的过程才能让学习的

2017-2018-4 20155317《网络对抗技术》EXP3 免杀原理与实践

2017-2018-4 20155317<网络对抗技术>EXP3 免杀原理与实践 一.问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? 2.实践 (1) 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 首先尝试一下自己上个实验做出的后门程序 果然是不堪一击...拿去检测一下 装上veil尝试一下结果会如何 : 温馨提示一下,刚开始我是用的自己装的64的ka

2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

#2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-正确使用msf编码器 2.2-veil-evasion 2.3-组合应用技术实现免杀 2.4-靶机实测 2.5-基础问题回答 3-资料 1-实践目标 1.1-实践介绍:免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件

20154307《网络对抗》Exp3 免杀原理与实践

20154307<网络对抗>Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 启发式恶意软件检测 基于行为的恶意软件检测:检测程序是否会有一些恶意行为,如修改注册表,更改权限等等.. (2)免杀是做什么? 让攻击程序不被杀软查杀 (3)免杀的基本方法有哪些? 加壳 改变特征码 二.实践内容 1.使用msf生成后门程序的检测 由于上一个实验我们已经用msf生成了一

20155218《网络对抗》Exp3 免杀原理与实践

20155218<网络对抗>Exp3 免杀原理与实践 一.使用msf生成后门程序的检测 (1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下: (2)使用msf时对它多编码1次并进行测试 发现能发现的杀软变少: (3)使用msf时对它多编码10次并进行测试 编码10次后,发现可以查杀的杀软数量仅仅减少了一个: 二.使用veil-evasion生成后门程序的检测 通过list查看功能,选用22命令 生成文件: 测试结果: 显而易见,效果并不理想: 三.利用shellco