• 网络攻防技术作业


    实践要求

    (1)理解免杀技术原理
    (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
    (成功实现了免杀的。如何做成功的简单语言描述即可,不要截图、指令。与杀软共生的结果验证要截图。)
    (3)通过组合应用各种技术实现恶意代码免杀
    (4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

    实践内容

    1.基础问题回答
    (1)杀软是如何检测出恶意代码的?
    恶意代码与其检测是一个猫捉老鼠的游戏,单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展,是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测,基于网络的检测方法主要有基于神经网络”基于模糊识别“等方法,本文主要讨论基于主机的检测。
    (2)免杀是做什么?
    免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。
    (3)免杀的基本方法有哪些
    开源免杀:指在有病毒、木马源代码的前提下,通过修改源代码进行免杀。
    手工免杀:指在仅有病毒、木马的可执行文件(.exe)(PE文件)的情况下进行免杀。
    方法一:直接修改特征码的十六进制法
    1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
    2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能
    否正常使用.
    方法二:修改字符串大小写法
    1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
    2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
    方法三:等价替换法
    1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
    2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE 换成JMP等.
    如果对汇编不懂的偏移可以去查看8080汇编手册.
    方法四:指令顺序调换法
    1.修改方法:把具有特征码的代码顺序互换一下.
    2.适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行
    方法五:通用跳转法
    1.修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用jmp指令无条件调回原代码处继续执行下一条指令
    2.适用范围:通用的改法,建议大家要掌握这种改法.
    方法六:一键加壳法
    1.修改方法:直接把文件拖入UPX加壳软件内,据说这种方法是麦子在兄弟网络发布的
    2.适用范围:能够有效的免杀exe文件,建议大家要掌握这种改法.

    使用msf编码器




    简单的用msfvenom生成的shellcode会被检测出来。

  • 相关阅读:
    推荐美丽的flash网页MP3音乐播放器
    android混合动画实现
    swift UI专项训练39 用Swift实现摇一摇功能
    The return type is incompatible with JspSourceDependent.getDependants():JasperException问题分析与解决方法
    【翻译自mos文章】注意: ASMB process exiting due to lack of ASM file activity
    表格对象QTableWidget相关常见方法
    python 加密解密
    python报错ordinal not in range(128)
    scp,ssh双机互信操作步骤
    PyQt多窗口调用
  • 原文地址:https://www.cnblogs.com/blankicefire/p/9097203.html
Copyright © 2020-2023  润新知