• Exp3 免杀原理与实践


    ---恢复内容开始---

    一,实验内容

    • 利用多种工具实现实现恶意代码免杀
    • 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功

    二,实验步骤

    (1)使用msf编码器生成的后门程序

    这里可以直接用上次实验生成的后门程序,使用360安全卫士检测直接被检测出来。

    将程序上传到virustotal网站去检测,个人认为virustotal网站比vriscan更好。

    可以看到66个杀软中有53个检测出来了这个后门程序。可以说是惨败,没有任何处理的后门程序还是很容易被检测

    出来的,但是还是有13个杀软没有检测出来,值得思考。

    (2)使用veil-evasion生成的后门程序

    首先要安装veil平台。使用apt-get install veil-evasion,经过长时间的下载安装后,提示我错误有几个包不能下载,

    按照终端给出的提示,只要更新一下就ok了。

    终于安装好后,进入veil页面,使用list显示可选项再使用use 来选择选项,我们选择第一项,然后再list可以看到需要

    你选择模板,即使用什么语言模板来编译后门程序,我选择的是c语言模板。还有很多模板可以尝试。

    然后设置参数,主要是LHOST和LPORT,然后使用generate就可以生成程序了。

    我们把生成的后门拷贝到win10系统下。然后进行检测。

    360败下阵来。

    还是有31个警告,不过还是比裸着的后门要强上不少。

    (3)shellcode编码

    在kali里生成一个c语言模式的shellcode

     

    再使用gidt将shellcode复制,添加一些语句,实验指导里有,然后进行编译。

    然后将exe文件拷贝到win10主机下运行,在msf平台进行配置开始回连,我这里的回连失败了,在win下运行exe时会

    报错我觉得可能是linux下编译器的问题win不兼容?

    于是我尝试在windows下使用codeblock进行编译。

    在此之前先将linux下生成的exe进行检测。

    半数的杀软都能识别。再试试360

    并不能检测出木马。

    然后在windows下进行shellcode编码。先直接将linux下的代码复制在win下编译,生成exe,进行测试。

    我在这里对shellcode进行了分三段异或,除三余数不同异或数不同,生成的exe360完全扫不出来,在上传测试

    只有三个可以检测出来!

    virustotal还是厉害,有16个杀软检测出来了,但是比较之前进步还是挺大的!

    在来试试回连。

    可以可以回连也成功了!

    (4)加壳

     使用upx来进行加壳。

    拷贝到win下立马被360识别了

    上传后upx加壳也惨败

    三,实验感想:

    实验整个过程很有趣,感觉自己像个黑客,但是通过实验要反思,随随便便生成后门程序用杀软来检测,也不能做到百分百的检测到。

    说明防御攻击的困难程度。以后还是要多小心。

    ---恢复内容结束---

  • 相关阅读:
    LeetCode 剑指offer 面试题05. 替换空格
    WebSocket整合SSM(Spring,Struts2,Maven)
    Eclipse常用20个快捷键
    JDK、JRE、JVM三者间的联系与区别
    Java集合框架详解(全)
    Java开发环境配置(Jdk、Tomcat、eclipse)
    Java面向对象概述及三大特征(封装,继承和多态)
    程序员之歌
    UML2.0最新版入门图解
    java单元测试,ssh(spring,struts2,hibernate)框架整合junit4
  • 原文地址:https://www.cnblogs.com/20154317wuhan/p/8743474.html
Copyright © 2020-2023  润新知