Exp3 免杀原理与实践

---恢复内容开始---

一,实验内容

  • 利用多种工具实现实现恶意代码免杀
  • 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功

二,实验步骤

(1)使用msf编码器生成的后门程序

这里可以直接用上次实验生成的后门程序,使用360安全卫士检测直接被检测出来。

将程序上传到virustotal网站去检测,个人认为virustotal网站比vriscan更好。

可以看到66个杀软中有53个检测出来了这个后门程序。可以说是惨败,没有任何处理的后门程序还是很容易被检测

出来的,但是还是有13个杀软没有检测出来,值得思考。

(2)使用veil-evasion生成的后门程序

首先要安装veil平台。使用apt-get install veil-evasion,经过长时间的下载安装后,提示我错误有几个包不能下载,

按照终端给出的提示,只要更新一下就ok了。

终于安装好后,进入veil页面,使用list显示可选项再使用use 来选择选项,我们选择第一项,然后再list可以看到需要

你选择模板,即使用什么语言模板来编译后门程序,我选择的是c语言模板。还有很多模板可以尝试。

 

然后设置参数,主要是LHOST和LPORT,然后使用generate就可以生成程序了。

我们把生成的后门拷贝到win10系统下。然后进行检测。

360败下阵来。

还是有31个警告,不过还是比裸着的后门要强上不少。

(3)shellcode编码

在kali里生成一个c语言模式的shellcode

 

 

再使用gidt将shellcode复制,添加一些语句,实验指导里有,然后进行编译。

然后将exe文件拷贝到win10主机下运行,在msf平台进行配置开始回连,我这里的回连失败了,在win下运行exe时会

报错我觉得可能是linux下编译器的问题win不兼容?

于是我尝试在windows下使用codeblock进行编译。

在此之前先将linux下生成的exe进行检测。

半数的杀软都能识别。再试试360

并不能检测出木马。

然后在windows下进行shellcode编码。先直接将linux下的代码复制在win下编译,生成exe,进行测试。

我在这里对shellcode进行了分三段异或,除三余数不同异或数不同,生成的exe360完全扫不出来,在上传测试

只有三个可以检测出来!

 

virustotal还是厉害,有16个杀软检测出来了,但是比较之前进步还是挺大的!

在来试试回连。

可以可以回连也成功了!

(4)加壳

 使用upx来进行加壳。

拷贝到win下立马被360识别了

上传后upx加壳也惨败

三,实验感想:

实验整个过程很有趣,感觉自己像个黑客,但是通过实验要反思,随随便便生成后门程序用杀软来检测,也不能做到百分百的检测到。

说明防御攻击的困难程度。以后还是要多小心。

 

 

 

 

 

 

---恢复内容结束---

转载于:https://www.cnblogs.com/20154317wuhan/p/8743474.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/427852.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何进入指定文件目录_Python如何遍历操作指定文件目录下的全部Excel文件?

Python Tablib是麻省理工学院授权的与格式无关的表格数据集库。支持导入、导出和操作表格数据集,轻松的将数据导出为各种不同的格式,包括excel,json,html,yaml,csv,tsv等格式。接下来&#xff0…

《雪吁》

凛冽隆冬风骨寒,层云避日雾无边; 渐絮残花萧萧夜,窗前瘦花犹遮帘。 转载于:https://www.cnblogs.com/morron/p/8749430.html

条形图坐标轴_解密咨询报告中常见的双层条形图的制作方法

为了增加PPT的设计灵感,我除了经常逛一些设计社区之外,也会收集的各个公司咨询报告来学习。昨天我看了4份数据报告,发现这4份数据报告中都出现了一个共同的图表类型。第1个图表自于IXDC发布的《2018年中国用户体验行业调查报告》,…

小写转 大写

//转换大写 private string Change(double Digital) { //将小写金额转换成大写金额 String[] MyScale { "分", "角", "元", "拾", "佰", "仟", "万", "拾", "佰", "仟"…

赋值给集合_ArrayList集合源码

ArrayList简介ArrayList 是 Java 集合框架中比较常用的数据结构了。ArrayList是可以动态增长和缩减的索引序列,内部封装了一个动态再分配的Object[]数组这里我们可以看到ArrayList继承抽象类AbstractList,实现了 List 接口,同时还实现了 Rand…

Android VideoView无法播放网络视频

今天学习Android播放视频和音频,其中在练习播放视频的时候无法播放网络视频,网络视频是别人发布在网上的,但是把视频放在本地是可以的,最后推测是没有开放网络的访问权限的问题,果然开放了之后就能正常访问视频了 btnM…

大一计算机论文_大一计算机论文发表.doc

第 PAGE 页码 页码 页 / 总共 NUMPAGES 总页数 总页数 页大一计算机论文发表导读:我根据大家的需要整理了一份关于《大一计算机论文发表》的内容,具体内容:如今,我国的现代产业结构已经发生了重大的变化,信息产业地位正…

hdoj-3342-Legal or Not(拓扑排序)

题目链接 1 /*2 Name:hdoj-3342-Legal or Not3 Copyright:4 Author:5 Date: 2018/4/11 15:59:186 Description:7 判断是否存在环 8 */9 #include <iostream> 10 #include <queue> 11 #include <vector> 12 #include <cstring…

剪切文件_lammps模拟带缺陷镍板剪切变形(in文件及注释)

本期给大家带来lammps模拟带缺陷镍板剪切变形的in文件及其详细注释。初始模型如图一所示&#xff1a;图1 生成的初始模型 in文件及注释如下&#xff1a;#利用eam势函数模拟带缺陷镍板的剪切#模型构成——上下镍板夹可动镍块&#xff0c;镍块中有圆柱形缺陷&#xff0c;移动上镍…

js总结:对于字符串的切割截取和合并

1.函数&#xff1a;split() 功能&#xff1a;使用一个指定的分隔符把一个字符串分割存储到数组 例子&#xff1a; str”jpg|bmp|gif|ico|png”; arrstr.split(”|”); //arr是一个包含字符值”jpg”、”bmp”、”gif”、”ico”和”png”的数组 2.函数&#xff1a;join() 功能&…

为什么将表格的method改为post后就无法工作_用Python将Keras深度学习模型部署为Web应用程序...

构建一个很棒的机器学习项目是一回事&#xff0c;但归根结底&#xff0c;你希望其他人能够看到你的辛勤工作。当然&#xff0c;你可以将整个项目放在GitHub上&#xff0c;但是怎么让你的祖父母也看到呢&#xff1f;我们想要的是将深度学习模型部署为世界上任何人都可以访问的We…

jieba库分词

代码在github网站&#xff1a;https://github.com/oljb/ljb中的py文件里&#xff0c;词频和词频分布图也在github网站上 简介用词特点&#xff1a;和专业有关的词语有编程&#xff0c;软工&#xff0c;测试&#xff0c;技术等&#xff0c;关于个人的词语有希望&#xff0c;兴趣…

datetime mysql 当天_MySQL 获得当前日期时间(以及时间的转换)

MySQL 获得当前日期时间(以及时间的转换)1.1 获得当前日期时间(date time)函数&#xff1a;now()除了 now() 函数能获得当前的日期时间外&#xff0c;MySQL 中还有下面的函数&#xff1a;current_timestamp() current_timestamplocaltime() localtimelocaltimestamp() l…

判断mysql的关键字_mysql中查询常用的关键字

最简单的查询&#xff1a;这里需要注意的是where子句中条件过滤使用到的关键字,比如用到逻辑运算符like中的’%‘(匹配一个或多个字符)和’_‘(仅匹配一个)等。distinct关键字这个关键字,主要用来取出列中唯一的值。需要注意distinct关键字必须放在查询字段的开头&#xff0c;一…

GROUP BY 语句

GROUP BY 语句用于结合聚合函数&#xff0c;根据一个或多个列对结果集进行分组 GROUP BY 语法 SELECT column_name, aggregate_function(column_name) FROM table_name WHERE column_name operator value GROUP BY column_name; 例句&#xff1a; 每个学生的总分数 select S,su…

centos 源码安装mysql5.6_CentOS 7下源码安装MySQL 5.6

目录准备工作运行环境确认你的安装版本下载MySQL安装MySQL准备安装环境编译和安装配置MySQL单实例配置单实例配置方法添加防火墙启动MySQL重启MySQL多实例配置什么是多实例多实例配置方法创建启动文件初始化数据库配置防火墙启动MySQL登陆MySQL重启MySQL准备工作运行环境本文的…

跳一跳

转载于:https://www.cnblogs.com/shanhua-fu/p/8807348.html

mysql导出数据库对象命令_mysql数据库导出数据(命令)

MySQL数据库数据导出一、导出命令导出所有数据库&#xff1a;mysqldump -u [数据库用户名] -p -A>[备份文件的保存路径]导出数据和数据结构&#xff1a;mysqldump -u [数据库用户名] -p [要备份的数据库名称]>[备份文件的保存路径]mysqldump -u root -p test>d:\test.…

[SDOI 2010]外星千足虫

Description 题库链接 给出 \(m\) 个 \(n\) 元的 \(0,1\) 方程&#xff0c;即系数非 \(0\) 即 \(1\) &#xff0c;方程的结果为奇偶性。 \(1\leq n\leq 1000,1\leq m\leq 2000\) Solution 类似于 [JLOI 2015]装备购买 &#xff0c;维护高斯消元的上三角。 由于方程满足异或性质…

树莓派 无法安装mysql_树莓派安装mysql

前置&#xff0c;更新系统sudo apt-get updatesudo apt-get upgrade安装与配置MySQL直接安装mysql的话&#xff0c;默认下载的是MariaDB&#xff0c;两者差别不大&#xff0c;用法一样。如果真想下载mysql&#xff0c;需要换源&#xff0c;新版的Linux系统自带的是MariaDB&…