殺軟是如何檢測出惡意**的?
1.基於特徵碼的檢測,2.啟發式惡意軟體檢測,3.基於行為的惡意軟體檢測。
免殺是做什麼?
讓病毒不被防毒軟體殺掉。
免殺的基本方法有哪些?
1.改變特徵碼 2.加殼
這次實驗讓我深入理解了免殺原理,也讓我知道了原來以前認為很安全的防毒軟體業並沒有那麼可靠,因為有很多方法可以實現免殺,給我們的電腦帶來風險。
實戰中不可能那麼容易在別人的電腦中植入乙個後門程式。
實驗的侷限性很大。
一.免殺效果參考基準
把上一次實驗用msfvenom生成的後門放入進行檢測
二.使用msf編碼器
對後門程式進行一次重新編碼,再次進行檢測
我們再將後門程式進行編碼十次,然後再檢測
可見,編碼對免殺沒啥用。
三.使用veil-evasion生成
啟動evail-evasion,設定好回連的ip位址和埠號後,生成後門檔案。
命令列中輸入veil,
後在veil中輸入命令use evasion
依次輸入如下命令:
可執行檔案的檔名(palyload5331)
通過命令找到檔案
掃瞄結果
四.利用shellcode編寫後門
首先,在kali上使用命令生成乙個c語言格式的shellcode陣列
建立乙個檔案5331dzdd.c,然後將unsigned char buf賦值到其中,
使用命令:i686-w64-mingw32-g++ 20155312.c -o 20155312.exe編譯這個.c檔案為可執行檔案:
在掃瞄軟體上看看
使用upx對生成的後門程式加殼:
再掃瞄防毒軟體沒殺出來這個後門,實驗成功,實現了免殺
回連在kali下進入msf開啟監聽程序,實現方法參考上期實驗部落格
嘗試執行,後門程式成功獲取許可權
解決方案:把虛擬機器裡的.lck的資料夾給刪了,然後再把任務管理器裡面的所有vm關了再重啟,不過每次重新開機時還是會有這個問題。
Exp3 免殺原理與實踐
實驗做到中間的時候,在利用virustotal和virscan兩個平台上檢測時看到確實有不少殺軟做的不怎麼樣。實驗做到最後,發現確實我們對一些軟體進行加殼處理後殺軟也沒殺出來。分析殺軟檢測和免殺原理的時候確實感覺有種魔高一尺道高一丈的感覺 雖然這樣用詞不太準確 真正感覺到我們網路空間的安全性對於一般...
20155339 Exp3 免殺原理與實踐
1 殺軟是如何檢測出惡意 的?2 免殺是做什麼?免殺,從字面進行理解,避免被防毒軟體kill,也就是惡意 要能夠不被防毒軟體發現進入並駐足於系統。3 免殺的基本方法有哪些?非常規方法 基於上一次實驗的基礎完成了這次的實驗,這兩次的實驗很有趣,上次的實驗為了讓自己完成任務或者說為了讓自己開心開心,還需...
20155202張旭 Exp3 免殺原理與實踐
改變特徵碼 改變行為方式 改變行為 非常規方法免殺是做什麼?免殺的基本方法有哪些?1.msfvenom使用編碼器 編碼後呢,按理論上講,編碼會降低檢出率,大不了多編碼幾次,總會檢不出來。一次編碼 msfvenom p windows meterpreter reverse tcp e x86 shi...