virustotal

<center>2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践</center> <a name="FHML"></a> 免杀原理及基础问题回答 实验内容 任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧 使用msf编码器生成各种后门程序及检测 使用veil-evasion生成后门程序及检测 半手工注入Shellcode并执行 任务二：通过组合应用各种技术实现恶意代码免杀 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 离实战还缺些什么技术或步骤 实验遇到的问题及解决方法 实验总结与体会 <a name="1"></a> <center>免杀原理及基础问题回答</center> 一、免杀原理 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。 二、基础问题回答 问：杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据

2018-2019-2 网络对抗技术 20165329 Exp3 免杀原理与实践 1. 实践内容（3.5分） 1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 2 报告内容： 2.1.基础问题回答 （1）杀软是如何检测出恶意代码的？ （2）免杀是做什么？ （3）免杀的基本方法有哪些？ 2.2.实践总结与体会 2.3.开启杀软能绝对防止电脑中恶意代码吗？ 2.4.实践过程记录 3.报告评分 1分 3.1 报告整体观感 0.5分 3.1.1 报告格式范围，版面整洁 加0.5。 3.1.2 报告排版混乱，加0分。 3.2 文字表述 0.5分 3.2.1报告逻辑清楚，比较简要地介绍了自己的操作目标与过程 加0.5分。 3.2.2报告逻辑混乱表述不清或文字有明显抄袭可能 加0分 免杀基础问题回答 1、杀软是如何检测出恶意代码的？ 是基于特征码的检测（杀软的特征库中包含了一些数据或者数据段

高质量的安全文章，安全offer面试经验分享 尽在 # 掌控安全EDU # 作者：掌控安全学员-xiaoc 修复百度云链接，新增shiro反序列化检测工具（在网盘链接里） 还有众多工具：公众号后台回复“zkaq”获取下载 0.1 话说 之前发表过此文章，但是觉得很多不足，想改改， 奈何最近项目事情太多，一直拖到现在。稍微修改一下，总是觉得差点什么。 等等慢慢改吧，大家多提意见。 0.2 正文 每年一度的HVV已经接近尾声，有幸参加过几次蓝队也做过几次红队，想着写点什么。 看到群里一些兄弟在要一些工具 ，就分享 一些经常使用工具吧。 pass: 不知道为何，越来越觉得自己像一个工具小子了。 希望大家在使用一些工具之余，去探究一些工具的原理，以及如何用代码去实现。 另外本文推荐的工具，在平常的渗透测试过程之中也有很大的用处。 所有的工具打包上传 ， 后台回复“工具”获取 。大家先耐心查看即可 1.信息收集篇 1.1 端口收集之railgun 先看看他的样子， 其实railgun是一个相对综合点的工具，或者说扫描器。 一般我是用它来做端口扫描，这款工具也是在做端口扫描的时候接触到的，发现挺不错。 到这里肯定有人会问：为什么不用nmap呢？ 其实主要的原因是因为nmap太慢， 而且不到最后nmap不出结果也不能查看 令人意外的是，这款工具扫描的结果比nmap还全。 这里多说一句

作者：深信服千里目安全实验室 原文链接： https://mp.weixin.qq.com/s/8hLNDgrRcbvP3W0ASrwOwQ 摘要 漏洞研究者是大家心目中的安全专家，然而当安全专家的心理弱点被不讲武德的黑客利用，专家电脑上高价值的智力资产就会处于危险的境地，然而更危险的是这些本用于研究目的信息中如果存在可被武器化的内容，就导致研究人员无意中成为这些黑客的帮凶。 事件影响 26日，谷歌威胁分析小组披露了一系列来自东北亚某国黑客组织的针对安全研究人员(尤其是漏洞研究人员)的攻击活动。攻击者使用疑似Lazarus APT组织的攻击基础设施，结合非常具有迷惑性的社工操作，骗取受害者信任，并可能以盗取安全公司电脑上的高价值漏洞研究资料达到攻击目的。目前国内已有一定数量的安全研究人员受到这个组织的欺骗，其研究电脑的敏感信息泄露。 攻击技巧 攻击者为了与安全研究者建立互信并保持联系，首先会在一些社交媒体上发布一些漏洞研究博客和Twitter，吸引相关研究者的关注。其已知的攻击策略有两种： (1)在Twitter上进行一段时间的技术交流获得研究者信任后，攻击者会询问研究人员是否愿意开展合作研究，并向受害研究人员提供一个经过PGP加密的所谓“开展漏洞研究的VS源码项目”。其中在编译配置文件中调用了一段powershell脚本，加载了第一阶段的恶意DLL

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！ 本专题文章导航 1、远控免杀专题(1)-基础篇： https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数： https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)： https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)： https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀(VT免杀率11/71): https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)： https://mp

本专题文章导航 1、远控免杀专题(1)-基础篇： https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数： https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)： https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)： https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀(VT免杀率11/71): https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)：本文 文章打包下载及相关软件下载： https://github.com/TideSec/BypassAntiVirus 免杀能力一览表 几点说明： 1

本专题文章导航 1、远控免杀专题(1)-基础篇： https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数： https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)： https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)： https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):本文 文章打包下载及相关软件下载： https://github.com/TideSec/BypassAntiVirus 免杀能力一览表 几点说明： 1、下表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。 2、为了更好的对比效果，大部分测试payload均使用msf的 windows/meterperter/reverse_tcp 模块生成。 3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本 5.0.0

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！ 本专题文章导航 1、远控免杀专题(1)-基础篇： https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数： https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)： https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)： https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀(VT免杀率11/71): https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)： https://mp

01 引言 威胁情报这个概念，自从2014年Gartner提出以后，安全圈就一直在提这个概念，也一直尝试应用这个技术来做一些文章，无论是加在各家的安全产品上做一些对撞，还是自己保留数据库存一些黑产数据，都取得了一些效果。 但每每提到威胁情报，我们普通人观之，就像吃饭扫过米其林、满汉全席、景区的茶叶蛋(误)一样，好像平时接触不到，偶尔想要用也要付出很大的成本。很多人懂web安全，懂渗透测试，懂流程，但是提到威胁情报，总觉得离自己很远，几乎不会用到。 当我们谈论威胁情报， 对于一般的安全从业人员来说，其实并不知道到底在谈论什么，到底要怎么用。就像皇帝的新衣一样，大家都说陛下穿着衣服，凑个热闹，但是陛下到底穿没穿衣服，大家 其实 没那么关心。 图1. 皇帝的新衣 所以今天笔者想聊一聊，当我们谈论威胁情报的时候，我们到底在聊什么。 02 情报是什么 威胁情报的定义是什么呢？最早的援引应该是Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义，即: 威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。 仔细看Gartner的定义，其实定义得很全面。但是普通人容易看得云里雾里，就像课本里的各种哲学定义，每个字都能看懂，但是一连起来可能就看不懂了。 笔者认为，威胁情报本身还是情报的子类。提到情报

生成文件的MD5、SHA、SHA256 Linux系统生成MD5、SHA、SHA256 md5sum file1.zip >> MD5.txt sha1sum file1.zip >> SHA1.txt sha256sum file1.zip >> SHA256.txt windows系统生成MD5、SHA、SHA256 certutil -hashfile file1.zip MD5 >> MD5.txt certutil -hashfile file1.zip SHA1 >>SHA1.txt certutil -hashfile file1.zip SHA256 >> SHA256.txt Windows命令查看文件MD5,SHA1,SHA256 文件校验 certutil -hashfile yourfilename.ext MD5 certutil -hashfile yourfilename.ext SHA1 certutil -hashfile yourfilename.ext SHA256 或者某些网站上传文件会显示出来，例如： https://www.virustotal.com/#/file/07957d6b72fd56668efdbc005e8069f670674132c05b5c6d7de0225a33b88f9c/detection 来源： oschina