20145211黃志遠 《網絡對抗技術》 免殺原理與實踐

20145211黃志遠 《網絡對抗技術》 免殺原理與實踐

實驗內容

• 理解免殺技術原理：免殺，通常是對惡意軟件作處理，讓它不被360等過濾，也就是滲透測試中須要使用到的技術。逆向推理，爲啥360能夠檢測到咱們那些弱弱的後門呢，掌握到其中的精髓，根據殺毒原理，作些修改，你也就具備了反制它的基礎。
• 思考如何在上次實驗的基礎上，在不關閉防火牆的狀況下，注入後門成功；更上一層樓：用另外一臺開啓着殺毒軟件的狀況下，可運行後門並回連成功
• 可以瀟灑的使用正確使用msf編碼器，veil-evasion，經過組合應用各類技術，包括shellcode等

基礎問題回答

1. 基礎問題回答

　　（1）殺軟是如何檢測出惡意代碼的？

　　　　① 基於特徵碼的檢測

• • 學習信息安全概論的時候，咱們知道一段特徵碼就是一串數據。若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼。AV（不是那個av^^）要作的就是儘可能蒐集最全的、最新的特徵碼庫。

            ② 啓發式惡意軟件檢測

• • 其主要特色是根據片面特徵去推斷，感受有點像墨菲法則，就是若是你認爲他是壞人，那就是了……是否是太一刀切了，因此嘛，他是機率性的。

           ③ 基於行爲的惡意軟件檢測

• • 這屬於啓發式的一種，或是行爲監控的啓發式。　　

　　（2）免殺是作什麼？

• • 免殺，通常是對惡意軟件作處理，讓它不被360等過濾，也就是滲透測試中須要使用到的技術。逆向推理，爲啥360能夠檢測到咱們那些弱弱的後門呢，掌握到其中的精髓，根據殺毒原理，作些修改，你也就具備了反制它的基礎。

　　（3）免殺的基本方法有哪些？

　　改變特徵碼：

• • 加殼或加假裝殼，讓殺毒軟件沒法進行反彙編、逆向工程，進而沒法分析代碼
  • 用encode進行編碼，重組
  • 用其餘語言進行重寫再編譯　

　　改變行爲

• 改變通信方式

  • 儘可能使用反彈式鏈接
  • 使用隧道技術
  • 加密通信數據

• 改變操做模式

  • 基於內存操做
  • 減小對系統的修改

　　很是規方法

• • 使用一個有漏洞的應用當成後門，編寫攻擊代碼集成到如MSF中。
  • 使用社工類攻擊，誘騙目標關閉AV軟件。
  • 純手工打造一個惡意軟件。

 

實驗總結與體會

• 若是說上次的實驗只是一把鳥槍的話，此次實驗感受像是一門意大利炮。二營長，把你意大利炮拖出來，就問你怕不怕……固然了，免殺可以實現，很大程度上要歸功於咱們既是攻擊者，也是被攻擊者，因此，別YY了。
• 要真正實現免殺，那可真是長路漫漫，任重道遠！首先光社會分析就須要你，研究一個目標不少信息，什麼上網習慣啊，之類的；接着，你總不能期望你的小小的msf可以有驚世之舉吧，你是來搞笑的嗎？那些殺毒軟件，你覺得人家吃素的？最後，就算實現免殺了，你也要兜着點，君不見刑法在上，豈可胡做非爲？
• 總之，咱們瞭解免殺技術，是爲了更好預防病毒後門等惡意代碼，就像咱們面對黑暗，是爲了迎接初升的太陽，因此，別幹壞事！！！
• 還有，不要忘了提交……每次到星期三才想起來，罪過（3.22加）

離實戰還缺些什麼技術或步驟

• 最重要，最關鍵的一步，如何在被攻擊者電腦上自動運行後門程序，而不是咱們作雙面間諜……那就要禍起蕭牆了。暫時想到的方法有發送一個釣魚連接，只要對方一點，自動下載運行後門程序；或者美化一下後門程序，經過社會分析學，看被害者喜歡玩什麼軟件，將後門程序綁定到正常程序中，嘻嘻，你懂的。
• 還有一個，是否是我每次攻擊，都要租一個服務器，好貴啊！！！
• 可能被攻擊主機上沒有咱們後門程序運行的環境，大寫的尷尬……那沒辦法了，處處釣魚唄，看哪條美人魚會上鉤~

實踐過程記錄

使用msfvenom直接生成meterpreter可執行文件

準備工做：直接使用上次的20145211.exe

• 檢測一波

   

使用Msfvenom編碼器生成可執行文件

準備工做：編碼生成生成haha.exe

• 兩個load一波，圖書館二樓網速炸了，建議你們別去……檢測結果以下

   

   

• 一次編碼不行，那就來個千百度（弱弱的說一句，百度明明是百次的意思，結果硬生生被李彥宏解釋成了搜索的意思，我表示抗議！！！）
  

• 結果是能夠想見的……只提升了兩個百分點

•  

Veil-Evasion生成可執行文件

• 我建議你們不要做死，下了2個小時後，kali的反應是這樣的……
  

   

• 後來在老師的kali下生成，winmine.exe

   

• 還讓咱們不要幹壞事，這憂國憂民……關鍵不讓咱們上傳殺毒庫檢測，這決定權不在咱們啊……

   

• 剛考到win10上，就被騰訊管家發現了（一年事後，學長的經驗都無論用了啊，看來不能反經驗主義錯誤，估計是去年屢次上傳，引發了殺毒軟件的注意，誒，血崩……）

•  

•  騰訊都檢測的出來，竟然才25%

 

• 後來我表示不服，用流量燒了1個g，哈哈……，終於成了，不過檢測結果是同樣的……

 

•  而後問題又來了，個人其它位置點擊無反應……也就是說我沒法進入根目錄去將個人wine.exe拷貝到win10中，雪崩……後來我想，用netcat吧，這也太繁瑣了；後來又想，何不將其cp到可視文件夾中呢？（得意）

•  

•  

• 將本身kali生成的檢測一波~也是25%，尷尬……果真1個G扔水裏了（藍瘦香菇）

•  

使用C語言調用Shellcode

• 首先生成一波代碼
  

• 在命令行下編譯運行（是否是逼格很高），同時在MSF下監聽
  

 

• 完美獲取權限 ，同時正在殺毒……
• 並且此次獲得了攝像頭權限
• VirSCAN.org檢測結果以下：

 

 

 

修改shellcode——逆序

• 將shellcode數組求逆序，從新編譯執行，爲了世界的和平與發展，從這開始，具體過程就不截圖了

• 再給一個共存畫面
  
  

•  看檢測，降到7%了，仍是蠻恐怖的