20191306 张宇鹏
1.基础问题回答
(1)杀软是如何检测出恶意代码的?
- 基于特征码的检测
恶意代码常常具有明显的特征码也就是一段数据,杀软检测到具有该特征码的程序就当作检测到了恶意代码。 - 启发式恶意软件检测
简单来说,就是根据些片面特征去推断。通常是因为缺乏精确判定依据。 - 基于行为的恶意软件检测
通用的、多特征的、非精确的扫描,如果一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码。
(2)免杀是做什么?
一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
(3)免杀的基本方法有哪些?
免杀的总体技术有:
改变特征码
- 如果你手里只有EXE
加壳:压缩壳 加密壳
- 有shellcode(像Meterpreter)
用encode进行编码
基于payload重新编译生成可执行文件
- 有源代码
用其他语言进行重写再编译(veil-evasion)
改变行为
- 通讯方式
尽量使用反弹式连接
使用隧道技术
加密通讯数据
- 操作模式
基于内存操作
减少对系统的修改
加入混淆作用的正常功能代码
(4)开启杀软能绝对防止电脑中恶意代码吗?
经过此次实验使我深刻的理解到杀软的局限性,“绝对防止”肯定达不到。
2.实验过程
(1)使用msf编码器,生成如jar之类的其他文件
- 生成meterpreter可执行文件
- 将生成的文件进行免杀测试
网站:https://www.virustotal.com
识别率53/69,我们将其作为标准,对比查看不同的操作会带来怎样不同的结果
(2)利用Msfvenom多次编码
- 再次测试
可以看出,并没有什么变化
再多编码几次(编码50次),再次测试
还是没什么变化,上网查询后了解到:AV厂商研究的是编码器本身,shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,只要盯住这部分就可以了。
(2)利用veil生成后门程序并加壳
- 安装并打开veil
- 设置反弹ip 设置端口号,生成后门程序
生成的程序进行测试
有了一点成效
- 进行加壳处理
使用UPX对1306veil.exe加壳
再次测试结果如下:
还是不理想,原因可能是msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。曾经有一段时间,只要换了模板,就可以对所有AV免杀。现在这招不行了。所以一般来说AV厂商会针对其使用的模板来生成特征码,这样就一劳永逸地解决所有msfvenom生成的恶意代码了。那如果使用msfvenom免杀,就要使用原生的模板。
(3)使用C + shellcode编程
使用msf生成shellcode
根据shellcode编写c文件
编译
检测1306bd.exe
已经有很大提升了!
(4)通过组合应用各种技术实现恶意代码免杀
使用 upx 对 1306.exe 进行加壳
检测结果为:
变化并不明显,使用火绒进行测试
火绒没有查出问题,并且后门程序能正常运行
(5)附加题:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
运行1306x.exe成功获取Windows的shell
火绒为最新版本5.0.67.0
再使用360安全卫士进行测试,360是可以查出木马病毒的,看来还是360安全一些。