其他分享
首页 > 其他分享> > 2018-2019-2 网络对抗技术 20165202 Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165202 Exp3 免杀原理与实践

作者:互联网

博客目录

一、基础问题回答

(1)杀软是如何检测出恶意代码的?

(3)免杀的基本方法有哪些?

二、实践内容

环节一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

1.使用msf编码器msfvenom生成后门程序

可以看到如果不加任何处理,后门程序能够被大多数杀软检测到,下面使用msf编码器对后门程序进行一次到多次的编码,并进行检测。

2.使用msf编码器msfvenom生成jar文件

3.使用veil-evasion生成后门程序及检测

4.C语言调用Shellcode

unsigned char buf[] = 

生成的shellcode

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

5.加壳工具使用

环节二:通过组合应用各种技术实现恶意代码免杀

环节三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

三、实验遇到的问题及解决方法

1.apt-get损坏

当运行sudo apt-get install/update/或其他命令时,由于各种说不清的原因有时会出现如下提示:

E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不可用)
E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it?

参考linux公社下文章Ubuntu E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不可用)进行尝试

第二种无效,第一种我杀了进程有了更大的的问题....

显示apt-get出错,由于出现了太多错误,处理过程被终止了。这可还行???

继续参考 大量dpkg依赖错误使用以下方法

第一步:备份
$ sudo mv /var/lib/dpkg/info /var/lib/dpkg/info.bk
第二步:新建
$ sudo mkdir /var/lib/dpkg/info
第三步:更新
$ sudo apt-get update
$ sudo apt-get -f install
第四步:替换
$ sudo mv /var/lib/dpkg/info/* /var/lib/dpkg/info.bk
//把更新的文件替换到备份文件夹
第五步:删除
$ sudo rm -rf /var/lib/dpkg/info
//把自己新建的info文件夹删掉
第六步:还原
$ sudo mv /var/lib/dpkg/info.bk /var/lib/dpkg/info
//把备份的info.bk还原

终于修复了apt-get...但是,upgrade之后我的veil还是失败了...来我们到第二个问题

2.veil无法安装

我相信很多同学都遇到了这个问题,在尝试了upgrade和apt-get evil-vision等方法无果后...我选了拷贝虚拟机...真香

3.ping不通

这个问题不难,在PKI实验里面也有遇到。更换网络连接方式(nat、桥接模式)即可

四、开启杀软能绝对防止电脑中恶意代码吗?

 不能,通过实践我们不难发现。尽管杀软能够抵御大多数后门偷袭,但是对于一些“隐蔽性强”的后门还是难以做到全面查杀。这也提醒我们一定要提高安全意识,不能只靠杀软保护我们的计算机。

五、实验总结

 通过这次实验可以了解到,实现免杀的技术真的很多很多,模板之类的数不胜数不说,更有很多dalao可以手工编译,瞬间感觉这次试验只是一个幼儿园小朋友的尝试……这个过程中遇到的最大问题就是veil的安装,这部分卡了很多时间,甚至还把我的upgrade搞坏了,虽然最终veil也没有装好,但我却收获了upgrade的修复方法,这何尝不是一种进步呢?体验过才是真的拥有了经验,当别人问我免杀是什么,如何实现的时候,我可以清楚地告诉他我尝试过的方法,有哪些失败与成功,这也是一种收获……

标签:exe,免杀,lib,Exp3,20165202,使用,var,veil,dpkg
来源: https://www.cnblogs.com/jhs888/p/10630395.html