Exp3 免杀原理与实践
---恢復內容開始---
一,實驗內容
- 利用多種工具實現實現惡意代碼免殺
- 在另一臺電腦上,殺軟開啟的情況下,實現運行后門程序并回連成功
二,實驗步驟
(1)使用msf編碼器生成的后門程序
這里可以直接用上次實驗生成的后門程序,使用360安全衛士檢測直接被檢測出來。
將程序上傳到virustotal網站去檢測,個人認為virustotal網站比vriscan更好。
可以看到66個殺軟中有53個檢測出來了這個后門程序。可以說是慘敗,沒有任何處理的后門程序還是很容易被檢測
出來的,但是還是有13個殺軟沒有檢測出來,值得思考。
(2)使用veil-evasion生成的后門程序
首先要安裝veil平臺。使用apt-get install veil-evasion,經過長時間的下載安裝后,提示我錯誤有幾個包不能下載,
按照終端給出的提示,只要更新一下就ok了。
終于安裝好后,進入veil頁面,使用list顯示可選項再使用use 來選擇選項,我們選擇第一項,然后再list可以看到需要
你選擇模板,即使用什么語言模板來編譯后門程序,我選擇的是c語言模板。還有很多模板可以嘗試。
?
然后設置參數,主要是LHOST和LPORT,然后使用generate就可以生成程序了。
我們把生成的后門拷貝到win10系統下。然后進行檢測。
360敗下陣來。
還是有31個警告,不過還是比裸著的后門要強上不少。
(3)shellcode編碼
在kali里生成一個c語言模式的shellcode
?
?
再使用gidt將shellcode復制,添加一些語句,實驗指導里有,然后進行編譯。
然后將exe文件拷貝到win10主機下運行,在msf平臺進行配置開始回連,我這里的回連失敗了,在win下運行exe時會
報錯我覺得可能是linux下編譯器的問題win不兼容?
于是我嘗試在windows下使用codeblock進行編譯。
在此之前先將linux下生成的exe進行檢測。
半數的殺軟都能識別。再試試360
并不能檢測出木馬。
然后在windows下進行shellcode編碼。先直接將linux下的代碼復制在win下編譯,生成exe,進行測試。
我在這里對shellcode進行了分三段異或,除三余數不同異或數不同,生成的exe360完全掃不出來,在上傳測試
只有三個可以檢測出來!
?
virustotal還是厲害,有16個殺軟檢測出來了,但是比較之前進步還是挺大的!
在來試試回連。
可以可以回連也成功了!
(4)加殼
?使用upx來進行加殼。
拷貝到win下立馬被360識別了
上傳后upx加殼也慘敗
三,實驗感想:
實驗整個過程很有趣,感覺自己像個黑客,但是通過實驗要反思,隨隨便便生成后門程序用殺軟來檢測,也不能做到百分百的檢測到。
說明防御攻擊的困難程度。以后還是要多小心。
?
?
?
?
?
?
---恢復內容結束---
轉載于:https://www.cnblogs.com/20154317wuhan/p/8743474.html
總結
以上是生活随笔為你收集整理的Exp3 免杀原理与实践的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【黑苹果】宏基Acer Predator
- 下一篇: 疯狂Java讲义笔记汇总