首页 技术 正文
技术 2022年11月24日
0 收藏 435 点赞 3,838 浏览 1159 个字

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的?

恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。
通过对恶意代码的观察、研究,有一些行为是恶意代码的共同行为,而且比较特殊。所以当一个程序在运行时,杀毒软件会监视其行为,如果发现了这种特殊的行为,则会把它当成恶意软件。

免杀是做什么?

我感觉就是绕过防火墙 杀毒软件进行攻击啊 获取靶机的权限就好了

免杀的基本方法有哪些?

加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来
加花指令:就是加一段垃圾代码,但是并不影响程序的正常执行,加了花指令后,使一些杀毒软件无法正确识别木马程序
再编译:如果有源代码可以使用其他语言重新编写再编译,或者利用已有的shellcode构造payload重新编译生成;
修改行为:尽量少做能被杀毒软件直接检测到的敏感行为,可以使用反弹式连接,或者减少对系统注册表之类的修改。

实践内容

msf生成的后门文件放在virscan.org中进行扫描,扫描结果如下:

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

哇 效果不是很好 好多软件都发现了 不行不行继续搞事 这次循环十次试一次下将生成的文件放到网站上扫描一下:

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

可以发现无论编码多少次都是一样,所以想要利用编码次数来达到免杀效果显然是不行的。

使用veil-evasion生成后门程序的检测

我自己装的kali 换了一万个虚拟机终于装好了veil,在此提一下 先升级到kali4.9内核,然后千万别用git clone下载,那个下的有问题,千万别用!改一下源用大连东软的就行,然后apt-get安装 之后升级一下settings.py文件就可以使用新版的veil了
放到网站上扫描一下:

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

比之前用msf生成的文件报毒率要更低,但是查出来了:

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

利用shellcode编写后门程序的检测

先使用msf生成一个C语言格式的shellcode,编译运行后,在kali上测试其是否可用:
20145307陈俊达《网络对抗》Exp3 免杀原理与实践

将shellcode逆序

将shellcode先进行逆序操作得到另外一个数组,然后之后再把它逆序回来,重新编写代码,编译运行,放到网上的结果,比之前的免杀率要稍微高一些:

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

将shellcode与字母进行异或

将shellcode与字母进行异或,改变了其特征码

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

将shellcode逆序和异或结合

将异或与逆序相结合,编写代码运行

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

离实战还缺些什么技术或步骤

shellcode还是比veil要强很多的,veil毕竟是工具,机器是死的,人才是活的,构造出好的shellcode才是王道啊

实验总结与体会
体会啊!我把360卸了,感觉他没啥用,嘻嘻,留一个windows defender就行了,保持漏洞攻击防止DDay攻击,av软件我是真的怕了,不用了,占内存

微信扫一扫

支付宝扫一扫

本文网址:https://www.zhankr.net/142024.html

相关推荐
python开发_常用的python模块及安装方法
adodb:我们领导推荐的数据库连接组件bsddb3:BerkeleyDB的连接组件Cheetah-1.0:我比较喜欢这个版本的cheeta…
日期:2022-11-24 点赞:876 阅读:5,464
Educational Codeforces Round 11 C. Hard Process 二分
C. Hard Process题目连接:http://www.codeforces.com/contest/660/problem/CDes…
日期:2022-11-24 点赞:806 阅读:3,688
下载Ubuntn 17.04 内核源代码
zengkefu@server1:/usr/src$ uname -aLinux server1 4.10.0-19-generic #21…
日期:2022-11-24 点赞:565 阅读:4,503
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号Name: www.greendown.cn Code: &nb…
日期:2022-11-24 点赞:731 阅读:4,468
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机和自定义相机实例本博文主要是介绍了android上使用相机进行拍照并显示的两种方式,并且由于涉及到要把拍到的照片显…
日期:2022-11-24 点赞:512 阅读:5,379
Struts的使用
一、Struts2的获取  Struts的官方网站为:http://struts.apache.org/  下载完Struts2的jar包,…
日期:2022-11-24 点赞:671 阅读:3,263
发表评论
暂无评论

还没有评论呢,快来抢沙发~

助力内容变现

将您的收入提升到一个新的水平

点击联系客服

在线时间:8:00-16:00

客服电话

400-888-8888

客服邮箱

ceotheme@ceo.com

扫描二维码

关注微信公众号

扫描二维码

手机访问本站